Cowrieについて、ログの読み方をわかる範囲でまとめてみました。

cowrieはeventidを見ることで、ログに記載される情報が変わります。
また、各種ログはsessionフィールドによって紐づけることができます。

cowrie.client.kex

cowrieに接続してきたSSHクライアントとの鍵交換情報が記載される

cowrie.client.size

cowrieに接続してきたSSHクライアントのターミナルサイズが記載される

cowrie.client.var

cowrieに接続してきたSSHクライアントの言語と文字コード情報が記載される

cowrie.client.version

cowrieに接続してきたSSHクライアントの環境情報が記載される

cowrie.command.failed

実行失敗したコマンドが記載される

cowrie.command.input

入力されたコマンドが記載される

cowrie.direct-tcpip.data

TCP接続のデータが記載される

cowrie.direct-tcpip.request

TCP接続のリクエストが記載される

cowrie.log.closed

ttyログへの書き込みが終了した際に記載される

cowrie.login.failed

ログインに失敗した[username/password]が記載される

cowrie.login.success

ログインに成功した[username/password]が記載される

cowrie.session.closed

cowrieとのsession終了時に記載される

cowrie.session.connect

cowrieとのsession開始時に記載される

cowrie.session.file_download

ファイルのダウンロードやファイルの移動を行った際に記載される

cowrie.session.file_download.failed

ファイルのダウンロードやファイルの移動を行い、失敗した際に記載される