我應該在 /var/log/auth.log 中查找哪些字元串？

我編寫了一個 bash 命令來掃描/var/log/auth.log當天發生的指示未經授權訪問的消息。目前它只獲取匹配的消息BREAK-IN和unauthorized.

我應該搜尋哪些其他字元串/var/log/auth.log以密切關注未經授權的訪問？

這是供參考的腳本：

cat /var/log/auth.log|grep "$(date|awk '{print $2" "$3}')"|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'

---

編輯

這是根據賈斯汀的建議和我通過Google找到的修改後的命令

grep "$(date|awk '{print $2" "$3}')" /var/log/auth.log|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'

您可以查找當有人嘗試使用不存在的帳戶登錄時拋出的“無效使用者”。當您輸入無效密碼時，它也會拋出“密碼失敗”。

此外，您不需要使用 cat 將文件轉儲到 grep。Grep 已經可以將該文件作為其第二個選項。‘Grep 搜尋條件 /path/tp/file’

引用自：https://unix.stackexchange.com/questions/3176