Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Welke logbestanden doorlezen?  (gelezen 2218 keer)

Offline yozdje

  • Lid
  • Steunpunt: Nee
Welke logbestanden doorlezen?
« Gepost op: 2009/11/18, 12:02:47 »
Welke logs lezen jullie dagelijks/wekelijks door en wat is de makkelijkste manier om dat te doen? Ja ik ben paranoïde... ;)

Offline Tom

  • Lid
    • Wanda´s Blog Linux Xubuntu.
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #1 Gepost op: 2009/11/18, 13:03:55 »
Als mijn systeem goed loopt en ik geen errors krijg , heeft het ook geen zin om mijn logs te lezen.
Moest ik een error of zo iets krijgen lees ik meestal De bug , syslog , daemon log , Auth log , messages .
Of in verborgen bestanden Session error log.
Maar meestal lees ik liever mijn online krant. :)
« Laatst bewerkt op: 2009/11/18, 13:33:30 door Wanda »
2 x Xuby 14.04.5 Lts 64 bits stand alone. 2 x Xuby 16.04.3 Lts 64 bits stand alone.
https://sites.google.com/site/wandabloglinuxxubuntu/pc-s-installeren-configureren

Offline Cumulus007

  • Lid
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #2 Gepost op: 2009/11/18, 13:13:07 »
Waarom vind je het nodig om die logs vaak door te lezen? Als je niets vreemds merkt aan je systeem, is dat niet echt nodig. Je kunt logs lezen bij Systeem -> beheer -> Logbestand-weergave.

Offline Rachid

  • Vertaalteam
    • rachidbm
    • Mijn blog
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #3 Gepost op: 2009/11/18, 14:28:08 »
Ik lees ook bijna nooit logs. Toen ik voor het eerst een server aan teh interwebs hing, was ik wel benieuwd naar hoeveel mensen probeerden in te loggen via ssh.... Dit kun je zien in /var/log/auth.log
Ik schrok van het aantal pogingen.. Het was ongeveer een paar per minuut las het niet meer was. Misschien was dit ook wel hoog, omdat er ook een domeinnaam aan hing. En dit gebeurt pas als je een tijd online bent. Als je hier meer over wilt weten moet je het me vragen.

Zo zie je de mislukte pogingen van de afgelopen tijdgrep "invalid\|Failed" /var/log/auth.log.
Om de zoveel tijd wordt het log bestand gezipt en ge-archiveerd....

Toen heb ik het standaard poortnummer (22) veranderd in een andere. Sindsdien geen pogingen meer gezien in de logs ;)
Ben je ook blij dat Ubuntu zo toegankelijk en gratis is, en wil je graag net als ik iets terugdoen, kijk dan eens rond bij mwanzo, dé poort naar het bijdragen aan Ubuntu en haar gemeenschap!

Offline rja

  • Lid
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #4 Gepost op: 2009/11/18, 15:42:58 »
Bij een server die rechtstreeks vanaf internet is te bereiken.

Kijk ik om de paar dagen of iets gek in log files staat, geen firewall, maar de server is alleen via ssh of http of https bereikbaar, de rest van de poorten heb ik dicht gezet, door de service uit te zetten.


Offline karlhungus

  • Lid
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #5 Gepost op: 2009/11/18, 18:42:47 »
Ik lees ook bijna nooit logs. Toen ik voor het eerst een server aan teh interwebs hing, was ik wel benieuwd naar hoeveel mensen probeerden in te loggen via ssh.... Dit kun je zien in /var/log/auth.log
Ik schrok van het aantal pogingen.. Het was ongeveer een paar per minuut las het niet meer was. Misschien was dit ook wel hoog, omdat er ook een domeinnaam aan hing. En dit gebeurt pas als je een tijd online bent. Als je hier meer over wilt weten moet je het me vragen.

Zo zie je de mislukte pogingen van de afgelopen tijdgrep "invalid\|Failed" /var/log/auth.log.
Om de zoveel tijd wordt het log bestand gezipt en ge-archiveerd....

Toen heb ik het standaard poortnummer (22) veranderd in een andere. Sindsdien geen pogingen meer gezien in de logs ;)


Ja dat gebeurd enorm veel lekker alle standaard poorten scannen en bruut force login pogingen doen.  Zelfde in apache met die schitteren w00tw00t.sans........ troep.
fail2ban is daar ideaal voor. Dan psad er nog naast om alle rare netwerk scans en narigheid ertussen uit te plukken. Dan is mijn paranoide geest wel weer tot rust lol.
Zitten beide ook mailers aan die je keurig een keer per week een rapport kunnen sturen.  

Je zal wel eerst goed moeten bekijken wat je wel en niet toelaat, want anders loop je het risico dat je jezelf buiten sluit en valse positieven kom je ook wel tegen.
Deze moeite neem ik wel alleen in mn internet gateway en datacentre servers. gaan niet op iedere pc al die dingen bijhouden.
« Laatst bewerkt op: 2009/11/18, 18:45:31 door karlhungus »

Offline AptlyNamed

  • Lid
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #6 Gepost op: 2009/11/20, 08:19:50 »
ik voer af en toe dit in de commandoregel uit. Het geeft uit alle logs alleen regels terug die een van de woorden 'fail;', 'error' etc. bevatten. Veel foutmeldingen lijken ernstiger dan ze zijn.:
sudo  egrep -ri '(missing|error|fail|valid|fatal|corrupt|warning|wrong|illegal|fault)' /var/log/*

als ik alleen van een bepaalde dag foutmeldingen wil plak ik er nog achteraan:
| grep 'Nov 20'
bij b.v. 3 november moet er nog een extra spatie tussen de maand en de dag:
| grep 'Nov  3'

Offline Rachid

  • Vertaalteam
    • rachidbm
    • Mijn blog
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #7 Gepost op: 2009/11/20, 10:57:50 »
Handige tip! Achter jouw commando kun je ook nog plakken:
| sort -u Dan worden alle redundante(dubbele) regels eruitgefilterd.

Je krijgt dan bijv.
sudo  egrep -ri '(missing|error|fail|valid|fatal|corrupt|warning|wrong|illegal|fault)' /var/log/*  | grep 'Nov 20' | sort -u

Ik probeerde de bovenstaande regel uit,
zonder "sort -u" 356 regels
MET 186 regels
Ben je ook blij dat Ubuntu zo toegankelijk en gratis is, en wil je graag net als ik iets terugdoen, kijk dan eens rond bij mwanzo, dé poort naar het bijdragen aan Ubuntu en haar gemeenschap!

Offline AptlyNamed

  • Lid
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #8 Gepost op: 2009/11/20, 20:41:07 »
Handige tip! Achter jouw commando kun je ook nog plakken:
| sort -u Dan worden alle redundante(dubbele) regels eruitgefilterd.
Dank je!

zo nog iets korter, en ook (EE) erbij, wat bij Xorg.0.conf een error aanduidt.:
sudo  egrep -ri 'Nov 20.*(missing|error|fail|valid|fatal|corrupt|warning|wrong|illegal|fault|\(EE\))' /var/log/*  | sort -u
alleen Xorg.0.log bevat geen datums per regel, dus met 'Nov 20.*' vind je niets. Eigenlijk zou je naar de datum van het logbestand moeten kijken in plaats van datumstrings in de bestanden zoals nu.
« Laatst bewerkt op: 2009/11/20, 20:55:55 door AptlyNamed »

Offline AptlyNamed

  • Lid
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #9 Gepost op: 2009/12/04, 12:20:44 »
Dit is de laatste versie van mijn scriptje om met 1 handeling alle systeemlogs te doorzoeken op foutmeldingen, met als wijziging dat op de huidige dag wordt gezocht.

# datumformaat binnen script naar POSIX(= engels) veranderen zodat $(date '+%b %e')  het juiste formaat oplevert.
export LC_TIME="POSIX"
sudo  egrep -ri "$(date '+%b %e')"'.*(missing|error|fail|(no |not |in)valid|fatal|corrupt|warning|wrong|illegal| fault|caused)' /var/log/*  | sort -u
sudo  egrep -iH '(missing|error|fail|(no |not |in)valid|fatal|corrupt|warning|wrong|illegal| fault|caused|\(EE\)|\(WW\))' /var/log/Xorg.0.log  | sort -u
« Laatst bewerkt op: 2009/12/04, 13:38:40 door AptlyNamed »

Offline crashit

  • Lid
    • Tekstbureau Anderverhaal
  • Steunpunt: Nee
Re: Welke logbestanden doorlezen?
« Reactie #10 Gepost op: 2009/12/04, 16:50:31 »
Zelf check ik niet vaak m'n logs. Vind het niet direct nodig, omdat ik vrijwel alle poorten gewoon geblokt heb. Alleen poort 80, poort 631 en poort 22 staan open. De laatste twee zijn alleen toegankelijk van binnenuit mijn netwerk en dan alleen nog als je de juiste rsa-key hebt (je moet flink aan het hacken gaan wil je daar achter komen ;)) en vanaf het juiste ip-adres inlogt. Rest wordt gewoon geblokt.
"If engineers built buildings the way Microsoft builds operating systems the first woodpecker to come along would bring civilization to its knees."