Parseo rapido de logs de correo y Apache
Parseo rapido de logs de correo y Apache
Parseo rapido de logs de correo y Apache
Este post recopila comandos para investigar accesos, autenticaciones fallidas y origenes mas frecuentes en logs de correo y Apache.
Top IPs en Apache
1
awk '{print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -nr | head
Codigos HTTP mas frecuentes
1
awk '{print $9}' /var/log/apache2/access.log | sort | uniq -c | sort -nr
Top IPs en logs SSL
1
awk '{print $1}' /var/log/apache2/ssl_access.log | sort | uniq -c | sort -nr | head
Autenticaciones fallidas en mail
1
grep -i 'auth failed\|authentication failed' /var/log/mail.log
Logins IMAP por usuario/IP
1
2
3
4
5
grep -i 'imap-login' /var/log/mail.log \
| awk '{print $0}' \
| sort \
| uniq -c \
| sort -nr
Reverse DNS rapido
1
2
3
4
for ip in $(awk '{print $1}' access.log | sort -u); do
printf '%s ' "$ip"
dig +short -x "$ip"
done
Consejos
- Acotar por fecha antes de contar.
- Separar bots conocidos de accesos reales.
- No publicar IPs completas en informes publicos.
- Guardar salidas en ficheros timestamp si la investigacion se repite.
This post is licensed under CC BY 4.0 by the author.