splunk、for unix and linuxのapp突っ込んで/var/log追加させるだけでsshdへのログイン試行ログが抽出できるとか楽しすぎでは？

全鯖にUniversal forwarder突っ込んでログ回収だけでもさせておきたいわね

うーんコロナ

各鯖へsplunkforwarderとTA_nixを流し込んでいく

splunkでauth.logを全部収集させたら攻撃元IPが楽しいことになっている…

139.99.193.160がaqpw\.netに紐付いているらしいけど、これなんなんだ

abuseIPDB見たらめっちゃ報告きている👉https://www.abuseipdb.com/check/139.99.193.160