Welke logbestanden doorlezen?

[yozdje]

Welke logs lezen jullie dagelijks/wekelijks door en wat is de makkelijkste manier om dat te doen? Ja ik ben paranoïde...

[Tom]

Als mijn systeem goed loopt en ik geen errors krijg , heeft het ook geen zin om mijn logs te lezen.
Moest ik een error of zo iets krijgen lees ik meestal De bug , syslog , daemon log , Auth log , messages .
Of in verborgen bestanden Session error log.
Maar meestal lees ik liever mijn online krant.

[Cumulus007]

Waarom vind je het nodig om die logs vaak door te lezen? Als je niets vreemds merkt aan je systeem, is dat niet echt nodig. Je kunt logs lezen bij Systeem -> beheer -> Logbestand-weergave.

[Rachid]

Ik lees ook bijna nooit logs. Toen ik voor het eerst een server aan teh interwebs hing, was ik wel benieuwd naar hoeveel mensen probeerden in te loggen via ssh.... Dit kun je zien in /var/log/auth.log
Ik schrok van het aantal pogingen.. Het was ongeveer een paar per minuut las het niet meer was. Misschien was dit ook wel hoog, omdat er ook een domeinnaam aan hing. En dit gebeurt pas als je een tijd online bent. Als je hier meer over wilt weten moet je het me vragen.

Zo zie je de mislukte pogingen van de afgelopen tijd

Code: [Selecteer]

grep "invalid\|Failed" /var/log/auth.log.
Om de zoveel tijd wordt het log bestand gezipt en ge-archiveerd....

Toen heb ik het standaard poortnummer (22) veranderd in een andere. Sindsdien geen pogingen meer gezien in de logs

[rja]

Bij een server die rechtstreeks vanaf internet is te bereiken.

Kijk ik om de paar dagen of iets gek in log files staat, geen firewall, maar de server is alleen via ssh of http of https bereikbaar, de rest van de poorten heb ik dicht gezet, door de service uit te zetten.

[karlhungus]

Ik lees ook bijna nooit logs. Toen ik voor het eerst een server aan teh interwebs hing, was ik wel benieuwd naar hoeveel mensen probeerden in te loggen via ssh.... Dit kun je zien in /var/log/auth.log
Ik schrok van het aantal pogingen.. Het was ongeveer een paar per minuut las het niet meer was. Misschien was dit ook wel hoog, omdat er ook een domeinnaam aan hing. En dit gebeurt pas als je een tijd online bent. Als je hier meer over wilt weten moet je het me vragen.

Zo zie je de mislukte pogingen van de afgelopen tijd

Code: [Selecteer]

grep "invalid\|Failed" /var/log/auth.log.
Om de zoveel tijd wordt het log bestand gezipt en ge-archiveerd....

Toen heb ik het standaard poortnummer (22) veranderd in een andere. Sindsdien geen pogingen meer gezien in de logs

Ja dat gebeurd enorm veel lekker alle standaard poorten scannen en bruut force login pogingen doen.  Zelfde in apache met die schitteren w00tw00t.sans........ troep.
fail2ban is daar ideaal voor. Dan psad er nog naast om alle rare netwerk scans en narigheid ertussen uit te plukken. Dan is mijn paranoide geest wel weer tot rust lol.
Zitten beide ook mailers aan die je keurig een keer per week een rapport kunnen sturen.  

Je zal wel eerst goed moeten bekijken wat je wel en niet toelaat, want anders loop je het risico dat je jezelf buiten sluit en valse positieven kom je ook wel tegen.
Deze moeite neem ik wel alleen in mn internet gateway en datacentre servers. gaan niet op iedere pc al die dingen bijhouden.

[AptlyNamed]

ik voer af en toe dit in de commandoregel uit. Het geeft uit alle logs alleen regels terug die een van de woorden 'fail;', 'error' etc. bevatten. Veel foutmeldingen lijken ernstiger dan ze zijn.:

Code: [Selecteer]

sudo  egrep -ri '(missing|error|fail|valid|fatal|corrupt|warning|wrong|illegal|fault)' /var/log/*

als ik alleen van een bepaalde dag foutmeldingen wil plak ik er nog achteraan:

Code: [Selecteer]

| grep 'Nov 20'
bij b.v. 3 november moet er nog een extra spatie tussen de maand en de dag:

Code: [Selecteer]

| grep 'Nov  3'


[Rachid]

Handige tip! Achter jouw commando kun je ook nog plakken:

Code: [Selecteer]

| sort -u Dan worden alle redundante(dubbele) regels eruitgefilterd.

Je krijgt dan bijv.

Code: [Selecteer]

sudo  egrep -ri '(missing|error|fail|valid|fatal|corrupt|warning|wrong|illegal|fault)' /var/log/*  | grep 'Nov 20' | sort -u

Ik probeerde de bovenstaande regel uit,
zonder "sort -u" 356 regels
MET 186 regels

[AptlyNamed]

Handige tip! Achter jouw commando kun je ook nog plakken:

Code: [Selecteer]

| sort -u Dan worden alle redundante(dubbele) regels eruitgefilterd.

Dank je!

zo nog iets korter, en ook (EE) erbij, wat bij Xorg.0.conf een error aanduidt.:

Code: [Selecteer]

sudo  egrep -ri 'Nov 20.*(missing|error|fail|valid|fatal|corrupt|warning|wrong|illegal|fault|\(EE\))' /var/log/*  | sort -u
alleen Xorg.0.log bevat geen datums per regel, dus met 'Nov 20.*' vind je niets. Eigenlijk zou je naar de datum van het logbestand moeten kijken in plaats van datumstrings in de bestanden zoals nu.

[AptlyNamed]

Dit is de laatste versie van mijn scriptje om met 1 handeling alle systeemlogs te doorzoeken op foutmeldingen, met als wijziging dat op de huidige dag wordt gezocht.

Code: [Selecteer]

# datumformaat binnen script naar POSIX(= engels) veranderen zodat $(date '+%b %e')  het juiste formaat oplevert.
export LC_TIME="POSIX"
sudo  egrep -ri "$(date '+%b %e')"'.*(missing|error|fail|(no |not |in)valid|fatal|corrupt|warning|wrong|illegal| fault|caused)' /var/log/*  | sort -u
sudo  egrep -iH '(missing|error|fail|(no |not |in)valid|fatal|corrupt|warning|wrong|illegal| fault|caused|\(EE\)|\(WW\))' /var/log/Xorg.0.log  | sort -u


[crashit]

Zelf check ik niet vaak m'n logs. Vind het niet direct nodig, omdat ik vrijwel alle poorten gewoon geblokt heb. Alleen poort 80, poort 631 en poort 22 staan open. De laatste twee zijn alleen toegankelijk van binnenuit mijn netwerk en dan alleen nog als je de juiste rsa-key hebt (je moet flink aan het hacken gaan wil je daar achter komen ) en vanaf het juiste ip-adres inlogt. Rest wordt gewoon geblokt.