<div dir="ltr">Hi Bro team,<div><br></div><div>I am trying to understand the &#39;history&#39; field in conn.log for failed and successful ssh logins.</div><div>Can we tell by looking into it whether the ssh connection was successful or not?</div><div><br></div><div>For ex: We had a case today where bro-intel flagged an IP to be bad with 85% confidence rate, and when we saw the conn.log corresponding to that uid, we saw that, that IP was trying to ssh into a machine.</div><div>Now the question is, can we tell by looking at the history - <span style="font-size:12.8px">ShAdDa that the ssh was successful?</span> </div><div><br></div><div>intel.log entry</div><div><span style="font-size:12.8px">1476046696.592070   CXs7MT25xi6ykmT3o1   </span><b style="font-size:12.8px">77.242.90.96   50367   x.y.z.k   22</b><span style="font-size:12.8px"> - - - 77.242.90.96   Intel::ADDR   </span><b style="font-size:12.8px">SSH::SUCCESSFUL_LOGIN</b><span style="font-size:12.8px">   worker-3-4   </span><a href="http://dataplane.org/" target="_blank" style="font-size:12.8px">dataplane.org</a><span style="font-size:12.8px"> 85.0 scanner</span><br></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">conn.log entry</span></div><div><span style="font-size:12.8px">1476046725.508913   CXs7MT25xi6ykmT3o1   </span><b style="font-size:12.8px">77.242.90.96   50367   </b><b style="font-size:12.8px"> x.y.z.k</b><b style="font-size:12.8px">   22</b><span style="font-size:12.8px">   tcp ssh 10.623538   1383   1843   S1   F   T   0  <b> ShAdDa</b>   15 2171 15 2631 (empty)</span><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">ssh.log entry</span></div><div><div>1476046725.634328       CXs7MT25xi6ykmT3o1      <b>77.242.90.96</b>    50367   <b style="font-size:12.8px">x.y.z.k</b>    22      2       T       INBOUND SSH-2.0-libssh2_1.7.0   SSH-2.0-1.82 sshlib: WinSSHD 4.27     aes256-cbc      hmac-sha1       none    diffie-hellman-group1-sha1      ssh-dss b9:93:6a:61:8d:29:01:ec:aa:01:1f:0e:90:0a:7b:6e CZ      84      Prerov                                  49.453899       17.4524</div></div><div><br></div><div><br></div><div>Also, what does the conn history would look like in case of failed ssh login?</div><div><br></div><div>Thanks for the help.</div><div><br></div><div>Thanks,</div><div>Fatema.</div><div><br></div></div>