Loggen onder *nix? - Linux en overige clients

donderdag 23 december 2004 23:37

Acties:

Topicstarter

Binnenkort ga ik voor prive-gebruik een server colocaten. Nou ben ik nog niet echt een expert op het gebied van *nix, alhoewel het steeds beter gaat. Inmiddels ben ik me aan het verdiepen in het loggen, en het analyseren van logfiles. Maar op internet heb ik toch niet veel kunnen vinden.

Kunnen jullie mij mischien op weg helpen? Mischien met een link naar een goeie handleiding ofzo. Bij voorkeur met tips over wat en hoe te loggen, en hoe je logbestanden het best doorspit.

BVD

vrijdag 24 december 2004 00:23

Acties:

smokalot

titel onder

ehm, op zich is het niet zo moeilijk allemaal, je hebt twee typen logs, applicatielogs en systeemlogs. apache logt bijvoorbeeld zelf, maar wie er inlogt wordt centraal gelogd, via een logd, bijvoorbeeld sysklogd of metalog. Welke systemlogger je gebruikt hangt af van je wensen en (belangrijker) je distributie.

Het doorspitten hangt een beetje af wat je wilt weten? ik bekijk ze meestal gewoon met less, en meestal ben ik naar iets speciaals op zoek, dus grep ik eerst op een string.

It sounds like it could be either bad hardware or software

vrijdag 24 december 2004 04:47

Acties:

Semyon

Volgens mij hangt het er helemaal vanaf waar je precies in geinteresseerd bent. Er zijn namelijk teveel programma's die logs achterlaten en ik betwijfel of je er allemaal in geinteresseerd bent. Wil je alle warnings van kernel/devices weten? Wil je weten wie er proberen in te loggen ssh/ftp? mensen die portscannen? Wil je misschien zelfs het hele dataverkeer loggen?

Of ben je omdat het een server is alleen geinteresseerd in de apache (of andere webserver) log en wil je weten wie wat opvraagt.
Als je echt in alle logs geinteresseerd bent, mag je wel wat tijd gaan vrij maken.

Only when it is dark enough, can you see the stars

vrijdag 24 december 2004 11:09

Acties:

active2

Google is your friend

Semyon schreef op vrijdag 24 december 2004 @ 04:47:
Volgens mij hangt het er helemaal vanaf waar je precies in geinteresseerd bent. Er zijn namelijk teveel programma's die logs achterlaten en ik betwijfel of je er allemaal in geinteresseerd bent. Wil je alle warnings van kernel/devices weten? Wil je weten wie er proberen in te loggen ssh/ftp? mensen die portscannen? Wil je misschien zelfs het hele dataverkeer loggen? Of ben je omdat het een server is alleen geinteresseerd in de apache (of andere webserver) log en wil je weten wie wat opvraagt.
Als je echt in alle logs geinteresseerd bent, mag je wel wat tijd gaan vrij maken.

Het hangt inderdaad van je interresse af van wat wil je weten wat er gebeurd is. Wat je bijvoorbeeld bij apache kan doen als je het aantal hits en dat soort dingen wil weten is webalizer over je logs heen halen.

Deze genereert een leuk statistiekje waar jij uit kan halen hoeveel hits er zijn geweest. Op welke pagina deze zijn geweest en nog wel het een en ander.

Als er iets niet werkt of gestopt is met werken. Dan is het handigste gewoon kijken in /var/log/* (meestal syslog en messages). Deze 2 log files hebben meestal de informatie wel waarom een proces is gestopt met draaien.

Google, Het mirakel van de 21e eeuw!!!!

vrijdag 24 december 2004 11:30

Acties:

Ti_Uhl

ik dat hij, aangezien hij een server op co-location gaat zetten, geinterreseerd is in de logs van apache,ftp,ssh en van die services zodat hij kan controleren wie er wat doet op zijn bak.

vrijdag 24 december 2004 12:23

Acties:

El Cid

Topicstarter

Het gaat mij met name om dingen die belangrijk zijn voor de veiligheid en integriteit van mijn systeem. Hoe kun je uit de veelheid van logs, hoofdzaken van bijzaken scheiden?

vrijdag 24 december 2004 12:28

Acties:

Nitroglycerine

Autisme: belemmering en kracht

Welke UNIX distributie ga je gebruiken?

Hier kon uw advertentie staan

vrijdag 24 december 2004 12:39

Acties:

El Cid

Topicstarter

Slackware of FreeBSD.

vrijdag 24 december 2004 12:58

Acties:

Martin Sturm

El Cid schreef op vrijdag 24 december 2004 @ 12:39:
Slackware of FreeBSD.

Weet je dat zeker? Slackware is volgens mij nog niet de meest ideale distributie voor colocating, zeker als je nog niet superveel linux ervaring hebt. Je zou dan ook eens naar Debian of Whiteboxlinux kunnen kijken.

vrijdag 24 december 2004 13:09

Acties:

Verwijderd

Niet dat ik ooit Slackware gebruikt heb, maar kun je dit een beetje onderbouwen? Waarin verschilt Slack van bijvoorbeeld Debian voor betreft colocaten?

vrijdag 24 december 2004 13:25

Acties:

M-ThijZ

Riding on Rails

Tja, kijken in /var/log. Slackware kan net zo goed gebruikt worden van colocating, waarom zou dat niet kunnen?

vrijdag 24 december 2004 17:13

Acties:

Verwijderd

Martin Sturm schreef op vrijdag 24 december 2004 @ 12:58:
[...]

Weet je dat zeker? Slackware is volgens mij nog niet de meest ideale distributie voor colocating, zeker als je nog niet superveel linux ervaring hebt. Je zou dan ook eens naar Debian of Whiteboxlinux kunnen kijken.

Ehm ik vind persoonlijk slackware zalig als distro, terwijl ik toch geen totale linux goroe ben. Het mooiste is wel swaret, soort van apt-get voor slackware

In combinatie met swaret werkt het imo net zo makkelijk als debian, en ik vind het persoonlijk wat overzichtelijker dan apt-get

/me gaat volgende week servertje wegbrengen naar colo met slackware, als hobbybak

vrijdag 24 december 2004 18:05

Acties:

smokalot

titel onder

El Cid schreef op vrijdag 24 december 2004 @ 12:23:
Het gaat mij met name om dingen die belangrijk zijn voor de veiligheid en integriteit van mijn systeem. Hoe kun je uit de veelheid van logs, hoofdzaken van bijzaken scheiden?

tja, dat verschilt per programma. Als ik mn ssh-log doorkijk doe ik meestal een grep --invert-match (-v) op mijn eigen ip, dat ik zelf ben ingelogd interesseert me niet zo erg eigenlijk. Ook bij mijn apache logs doe ik dat meestal.

In principe zijn er niet zo veel dingen die je voor de veiligheid moet controleren, als je zorgt dat je apache en ftpd veilig zijn, hoef je alleen je auth.log en je syslog door te kijken om te zorgen dat alles veilig is en gewoon goed werkt.

It sounds like it could be either bad hardware or software

vrijdag 24 december 2004 19:36

Acties:

Verwijderd

Wanneer je echt veel users op je bak hebt, denk dan ook eens aan packages als Logcheck. Deze spitten een aantal essentiele logs door op ongebruikelijke dingen (zoals root-login-attempts). Systraq is daarbij ook een heel handige soort van intrusion detection. Deze registreet veranderingen in systeem en configuratiefiles.

Voor de rest heel vaardig worden met grep, zeker als je mysql logs door wil gaan spitten

.

Dec 23 15:03:56 stuwww PAM_unix[7263]: authentication failure; (uid=0) -> s953903 for proftpd service
Dec 23 16:35:30 stuwww PAM_unix[23924]: authentication failure; (uid=0) -> s244457 for proftpd service
Dec 23 18:05:19 stuwww PAM_unix[1915]: authentication failure; (uid=0) -> s415987 for proftpd service
Dec 23 18:05:34 stuwww PAM_unix[1934]: authentication failure; (uid=0) -> s415987 for proftpd service
Dec 23 18:10:23 stuwww PAM_unix[2248]: authentication failure; (uid=0) -> s853135 for proftpd service
Dec 23 18:10:25 stuwww PAM_unix[2252]: authentication failure; (uid=0) -> s853135 for proftpd service
Dec 23 18:10:27 stuwww PAM_unix[2254]: authentication failure; (uid=0) -> s853135 for proftpd service
Dec 23 18:10:29 stuwww PAM_unix[2258]: authentication failure; (uid=0) -> s853135 for proftpd service
Dec 23 20:46:26 stuwww PAM_unix[25520]: authentication failure; (uid=0) -> s555022 for ssh service
Dec 23 20:46:28 stuwww sshd[25520]: Failed password for s555022 from ***.***.***.116 port 3153 ssh2

Voorbeeldje van een stukje Logcheck log. Dit valt elke nacht lekker in mijn mailbox.

[ Voor 58% gewijzigd door Verwijderd op 24-12-2004 19:40 ]

maandag 27 december 2004 16:05

Acties:

El Cid

Topicstarter

Martin Sturm schreef op vrijdag 24 december 2004 @ 12:58:
[...]

Weet je dat zeker? Slackware is volgens mij nog niet de meest ideale distributie voor colocating, zeker als je nog niet superveel linux ervaring hebt. Je zou dan ook eens naar Debian of Whiteboxlinux kunnen kijken.

Slackware ben ik nou eenmaal gewend. Het is de enige distro die ik gebruik. Het is ook de enige die mij min of meer bevalt. Alle anderen vallen toch een beetje tegen.

ps Sorry voor de late reactie, kerst enzo.

maandag 27 december 2004 22:20

Acties:

Rac-On

@Dajan en Ts, persoonlijk prefereer ik logwatch boven logcheck (installeert en configureerd naar mijn mening makkelijker) maar dazz vrij persoonlijk. Punt is dat beide programma's je logs doorlopen en er zinvolle samenvattingen van weergeven (ftp: wie transfered wat, http: welke bekende exploits komen langs en van welk ip, welk type files worden opgevraagd, auth: wie logt op welke manier in, welke login failen en waarom, Cron: wat runt er precies, enz enz enz).

Dit is denk ik de makklijkste manier om inzicht te houden in wat er gebeurd op je server. Alle logs zelf doornemen is onbegonnen werk...

doet niet aan icons, usertitels of signatures