Linuxの認証ログは、Red Hat系では/var/log/secure、Debian系では/var/log/auth.logに格納されています。形式はsyslog（RFC3164）であることが一般的でしょう。けっこう厄介な半構造データで、awkやgrepなどのシェル芸を駆使して調査することが多いのではないでしょうか。 今回、syslogをRを使ってパースしてみます。元データにはElasticのサンプルを使わせていただきました。