| Tìm từ khoá lỗi |
index=main ("fail" OR "attempt") |
Tìm tất cả log có chứa từ “fail” hoặc “attempt”. |
| Login thất bại SSH |
index=main sourcetype=linux_secure ("Failed password" OR "authentication failure") |
Lọc log đăng nhập thất bại trong Linux SSH. |
| Brute force – nhiều lần sai |
index=main "Failed password" | stats count by user, src_ip | search count > 5 |
Phát hiện IP nào thử đăng nhập sai > 5 lần với cùng user. |
| Brute force – nhiều IP tấn công 1 user |
index=main "Failed password" | stats dc(src_ip) as unique_ips by user | search unique_ips > 2 |
Một user bị thử brute force từ nhiều hơn 2 IP khác nhau. |
| Đăng nhập thành công sau khi thất bại |
index=main sourcetype=linux_secure user=j.doe ("Failed password" OR "Accepted password") |
Kiểm tra lịch sử đăng nhập (cả thành công và thất bại) của một user cụ thể. |
| Truy cập web nghi vấn (SQLi, XSS) |
index=web sourcetype=apache_access ("union select" OR "<script>") |
Tìm mẫu SQL Injection hoặc XSS trong web log. |
| Lỗi HTTP 401/403/500 |
index=web (status=401 OR status=403 OR status=500) |
Truy xuất các log có mã trạng thái HTTP bất thường. |
| Truy cập với User-Agent lạ |
index=web sourcetype=apache_access NOT user_agent="Mozilla*" |
Lọc ra client dùng user-agent không phải trình duyệt phổ biến. |
| Quét port/tấn công mạng |
index=firewall action=blocked | stats count by src_ip, dest_port | search count > 10 |
Một IP bị tường lửa chặn khi cố truy cập nhiều cổng khác nhau. |
| Sử dụng regex nâng cao |
index=main "Failed password" | regex user="^admin.*" |
Tìm user đăng nhập thất bại có username bắt đầu bằng 'admin'. |