WGCLOUD监测平台，有个日志监控模块，我们本文就用它来进行ubuntu的入侵检测分析，主要想监测ssh登录失败的日志

准备：ubuntu 20，WGCLOUD v3.4.5

ubuntu的登录日志文件，用于分析用户登录行为：/var/log/auth.log，我们今天就用ubuntu了

提示：如果是centos系统，分析用户登录行为的日志文件是var/log/secure

1、我们在日志列表，点击添加按钮

image.png

2、输入一些必要的信息，这里我设置的错误关键字为Disconnected,Failed，多个关键字可以用逗号隔开，英文逗号

image.png

3、如果系统扫描检测到在日志文件中，包含错误关键字，就会在列表中显示处理，如下图

image.png

image.png

再点击查看，就看到日志内容了，其中行首的 Line-254 标识日志文件中的第几行出现的内容，它会把包含关键字的每行都提取出来，展示到页面，如下图

image.png

4、日志文件扫描是默认10分钟扫描一次，可以修改，在agent配置文件config/application.properties中，如下

#监控日志文件扫描间隔时间，单位秒，默认10分钟，个人版值不能小于600，专业版可以小于600
logCheckSeconds=600

修改完后，需要重启下agent，才能生效

5、如果我们配置过告警方式，比如邮件，微信，钉钉等方式，当检测到日志包含关键字时候，我们就会收到消息