acouvreur/ssh-log-to-influx

SSH暴力***者地理位置实时可视化工具

镜像概述和主要用途

本镜像提供了一个解决方案，用于实时捕获、解析SSH暴力尝试，并通过地理位置信息可视化展示者来源。它通过收集SSH认证失败日志，提取IP地址并获取地理定位数据，存储于InfluxDB中，最终通过Grafana仪表盘直观展示***位置分布。

核心功能和特性

• 实时日志解析：捕获并解析SSH服务（sshd）的认证失败日志
• 地理位置定位：将***者IP地址转换为经纬度等地理信息
• 数据持久化：使用InfluxDB存储***数据，支持历史数据分析
• 可视化展示：提供Grafana仪表盘模板（ID: ），直观展示位置分布
• 灵活部署：支持独立部署（含InfluxDB和Grafana）或与现有InfluxDB实例集成

预览

!Dashboard
Grafana仪表盘 ID：*******

前提条件

• InfluxDB实例（或使用docker-compose.standalone.yml快速部署）
• Grafana实例（或使用docker-compose.standalone.yml快速部署）
• Docker环境
• Rsyslog服务（用于日志转发）

使用方法和配置说明

Rsyslog配置

需在/etc/rsyslog.conf中添加以下配置，将SSH认证失败日志转发到本地服务器：

template(name="OnlyMsg" type="string" string="%msg:::drop-last-lf%\n")
if $programname == 'sshd' then {
   if $msg startswith ' Failed' then {
      action(type="omfwd" target="127.0.0.1" port="7070" protocol="tcp" template="OnlyMsg")
   }
}

启动TCP服务器

方式1：使用捆绑的InfluxDB和Grafana

通过独立配置文件一键部署完整环境（含InfluxDB、Grafana和本服务）：

bash
docker-compose -f docker-compose.standalone.yml up

方式2：使用外部InfluxDB

需配置以下环境变量连接外部InfluxDB实例：

注意：若服务与InfluxDB在同一Docker网络中，可使用Docker网络FQDN（如服务名为influx，则INFLUX_HOST设为influx）。

启动命令：

bash
docker-compose up -d

测试TCP服务器

1. 使用独立配置启动服务：

   bash
   docker-compose -f docker-compose.standalone.yml up
   

2. 通过netcat连接本地7070端口：

   bash
   netcat localhost 7070
   

3. 输入测试日志：

   Failed password for username from 206.253.167.10 port 11111 ssh2
   

4. 验证数据是否被正确解析并存储到InfluxDB。

调试配置

• 跳过证书验证：设置环境变量NODE_TLS_REJECT_UNAUTHORIZED=0（不建议在生产环境使用，需了解安全风险）
• 日志级别：通过DEBUG_LEVEL设置log4js日志级别，默认值为"info"