Expressão Regular Bash no auth.log

[oicreal]

Estou com uma dificuldade, na verdade por não programar muito em bash so fazer rotinas.
Preciso pegar o auth.log os seguintes dados do ssh.

sshd:resultado:ip

com o comando cat /var/log/auth.log | grep sshd eu tenho reste resultado

Nov 13 10:28:42 ldaptst sshd[13722]: Failed password for root from 192.168.0.10 port 54679 ssh2
Nov 13 10:28:55 ldaptst sshd[13724]: reverse mapping checking getaddrinfo for mail.0.168.192.in-addr.arpa failed - POSSIBLE BREAK-IN ATTEMPT!
Nov 13 10:29:00 ldaptst sshd[13724]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.3 user=root
Nov 13 10:29:02 ldaptst sshd[13724]: Failed password for root from 192.168.0.3 port 35162 ssh2
Nov 13 10:57:02 ldaptst sshd[13920]: Accepted password for root from 192.168.0.37 port 58448 ssh2
Nov 13 10:57:02 ldaptst sshd[13922]: (pam_unix) session opened for user root by root(uid=0)

Agora preciso percorrer este arquivo, separando o sshd o resultado seria F ou A (fail ou accept) e o IP e concatenando num outro arquivo com o formato: sshd:resultado:ip

Alguem tem alguma solução para isto?

[Magnun]

Linhas como essa:
Nov 13 10:57:02 ldaptst sshd[13922]: (pam_unix) session opened for user root by root(uid=0)

podem ser desprezadas??

e considerar somente as linhas com o seguinte formato:
Nov 13 10:29:02 ldaptst sshd[13724]: Failed password for root from 192.168.0.3 port 35162 ssh2
Nov 13 10:57:02 ldaptst sshd[13920]: Accepted password for root from 192.168.0.37 port 58448 ssh2

Pode ser?? Porque (pelo que sei) uma é consequencia da outra...

Estou com uma dificuldade, na verdade por não programar muito em bash so fazer rotinas.
Preciso pegar o auth.log os seguintes dados do ssh.

sshd:resultado:ip

com o comando cat /var/log/auth.log | grep sshd eu tenho reste resultado

Nov 13 10:28:42 ldaptst sshd[13722]: Failed password for root from 192.168.0.10 port 54679 ssh2
Nov 13 10:28:55 ldaptst sshd[13724]: reverse mapping checking getaddrinfo for mail.0.168.192.in-addr.arpa failed - POSSIBLE BREAK-IN ATTEMPT!
Nov 13 10:29:00 ldaptst sshd[13724]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.3 user=root
Nov 13 10:29:02 ldaptst sshd[13724]: Failed password for root from 192.168.0.3 port 35162 ssh2
Nov 13 10:57:02 ldaptst sshd[13920]: Accepted password for root from 192.168.0.37 port 58448 ssh2
Nov 13 10:57:02 ldaptst sshd[13922]: (pam_unix) session opened for user root by root(uid=0)

Agora preciso percorrer este arquivo, separando o sshd o resultado seria F ou A (fail ou accept) e o IP e concatenando num outro arquivo com o formato: sshd:resultado:ip

Alguem tem alguma solução para isto?

[Magnun]

Testa esse comando aqui pra ver se ta bom pra você...

cat /var/log/auth.log | grep sshd | egrep "Accepted|Failed" | sed '/[[]/ /g' | cut -d' ' -f5,7,12 | sed 's/ Failed /:F:/g' | sed 's/ Accepted /:A:/g'

Qualquer coisa posta ai...

[oicreal]

Desde ja agradeço a ajuda.
Ao executar o comando deu um eror aqui:

Código :

ldaptst:~# cat /var/log/auth.log | grep sshd | egrep "Accepted|Failed"| sed '/[[]/ /g' | cut -d' ' -f5,7,12 | sed 's/ Failed /:F:/g'
sed: -e expressão #1, caractere 7: unknown command: `/'

[Magnun]

Opa, foi mal! Esqueci de um s no sed!

cat /var/log/auth.log | grep sshd | egrep "Accepted|Failed"| sed 's/[[]/ /g' | cut -d' ' -f5,7,12 | sed 's/ Failed /:F:/g' | sed 's/ Accepted /:A:/g'

Testa ai...

[oicreal]

Cara era exactamente isto que eu precisava, adiantou em muito meu trabalho de diplomação, vou agradecer tu e ao forum da under nele

[Magnun]

Que bom que ajudou!

Até mais...

[PEdroArthurJEdi]

Cara era exactamente isto que eu precisava, adiantou em muito meu trabalho de diplomação, vou agradecer tu e ao forum da under nele

Só tem um problema, se um usuário tentar algo como:

ssh '192.168.0.70 asd fgh qwe rty'@exemplo.com

vai aparece o IP errado podendo ser usado para DOS... Portanto não vá usar isso pra bloquear niguém!