Cowrie cowrie.jsonログの読み方
Cowrieについて、ログの読み方をわかる範囲でまとめてみました。
cowrieはeventidを見ることで、ログに記載される情報が変わります。
また、各種ログはsessionフィールドによって紐づけることができます。
- cowrie.client.kex
- cowrieに接続してきたSSHクライアントとの鍵交換情報が記載される
- cowrie.client.size
- cowrieに接続してきたSSHクライアントのターミナルサイズが記載される
- cowrie.client.version
- cowrieに接続してきたSSHクライアントの環境情報が記載される
- cowrie.command.failed
- 実行失敗したコマンドが記載される
- cowrie.command.input
- 入力されたコマンドが記載される
- cowrie.direct-tcpip.data
- TCP接続のデータが記載される
- cowrie.log.closed
- ttyログへの書き込みが終了した際に記載される
- cowrie.login.failed
- ログインに失敗した[username/password]が記載される
- cowrie.login.success
- ログインに成功した[username/password]が記載される
- cowrie.session.closed
- cowrieとのsession終了時に記載される
- cowrie.session.connect
- cowrieとのsession開始時に記載される
- cowrie.session.file_download
- ファイルのダウンロードやファイルの移動を行った際に記載される
- cowrie.session.file_download.failed
- ファイルのダウンロードやファイルの移動を行い、失敗した際に記載される