Opération sur un fichier de log [Résolu]

[bebert49]

Bonjour,

J'aimerais pouvoir faire quelques opérations sur un fichier de logs. Je récupère déjà les connections acceptés, et les déconnexions dans deux fichiers séparés :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
#!/bin/bash
if
	[ ! -e /var/log/sshd/sshd_connect ]
then
	mkfifo /var/log/sshd/sshd_connect
fi
while
	[ -e /var/log/sshd/sshd_connect ]
do
	cat /var/log/sshd/sshd | grep "opened">>/var/log/sshd/sshd_connect 
done

Seulement voilà, ce script se lance toutes les 5 minutes et je me retrouve avec plusieurs fois la même ligne. Comment faire pour dire à grep de n'écrire dans le fichier que si la ligne est différente de celles déjà présentes?

J'aimerais également récupérer le temps d'une connexion, et l'adresse IP de la machine se connectant. Mais comment faire une soustraction avec l'heure?

Pour vous aider, voici un extrait du fichier de logs :

Citation:

Apr 24 11:33:10 serveur sshd[367]: pam_unix(sshd:session): session opened for user root by root(uid=0)
Apr 24 11:36:55 serveur sshd[413]: Accepted password for root from 10.4.12.2 port 1513 ssh2
Apr 24 11:36:55 serveur sshd[416]: pam_unix(sshd:session): session opened for user root by root(uid=0)
Apr 24 11:48:09 service sshd[4713]: Received disconnect from 10.4.12.2: 14: No further authentication methods available.
Apr 24 11:48:31 service sshd[4714]: Accepted password for root from 10.4.12.2 port 1528 ssh2
Apr 24 11:48:31 service sshd[4716]: pam_unix(sshd:session): session opened for user root by root(uid=0)
Apr 24 11:50:20 service sshd[4754]: Accepted password for root from 10.4.12.2 port 1529 ssh2
Apr 24 11:50:20 service sshd[4756]: pam_unix(sshd:session): session opened for user root by root(uid=0)
Apr 24 11:50:26 service sshd[4754]: Received disconnect from 10.4.12.2: 11: Disconnect requested by Windows SSH Client.

Merci beaucoup pour votre aide

[Katyucha]

Tu t'embetes pour rien
Regarde du coté du programme ippl, il fait ca très bien

[bebert49]

J'ai lu attentivement la description de ippl, cependant ce logiciel ne correspond pas à mes besoins, car il ne loggue pas spécifiquement le protocole SSH. Or c'est celui-ci que je loggue. Une autre suggestion, une idée ou un bout de code?? merci

[al1_24]

Quelque chose comme ça ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
grep "opened" /var/log/sshd/sshd | while read
do
    grep -q "${REPLY}" /var/log/sshd/sshd_connect || echo "${REPLY}" >> /var/log/sshd/sshd_connect
done

[bebert49]

C'est un peu ce genre là, oui. Cependant ce script s'exécutera assez souvent, il y a donc une redondance des informations dans ton code.
J'ai réussi à pondre un bout de code, pour ne pas avoir sa, mais je n'arrive pas à enlever le premier caratère qui s'insère avec la commande diff.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
#!/bin/bash
 
cat /var/log/sshd/sshd | grep "Accepted">>/var/log/sshd/sshd_connect | diff /var/log/sshd/sshd_connect /var/log/sshd/sshd_connect1 | grep "<"

Voilà, après le grep je n'arrive pas à trouver comment enlever le "<" que rajoute le diff.

Une autre question, d'après le format de la date de mon fichier comment faire pour récupérer la durée? En gros avec le début et la fin de connexion, comment je peux soustraire pour récupérer une durée?

Merci d'avance, parce que là je galère

[bebert49]

Une petite rectification sa ne marche pas, je ne sais plus quoi faire.

s'il vous plaît aidez-moi !!

[BlaireauOne]

Citation:

Envoyé par bebert49

Voilà, après le grep je n'arrive pas à trouver comment enlever le "<" que rajoute le diff.

Merci d'avance, parce que là je galère

Ça semble fonctionner

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
touch /var/log/sshd/sshd_connect_reference
grep "Accepted" /var/log/sshd/sshd > /var/log/sshd/sshd_connect_nouv
diff /var/log/sshd/sshd_connect_nouv /var/log/sshd/sshd_connect_reference | \
     sed -n '/^< /s/^< //p' >> /var/log/sshd/sshd_connect_reference
less sshd_connect_reference

[bebert49]

Merci beaucoup BlaireauOne, grâce à ton code j'avance enfin ^^.

Merci à tous.