Log Dateien auswerten.

xxy · Beitrag von **xxy** » 01.07.2005 20:42:51

Hi zusammen,
Ich habe seit einiger Zeit einen (Test/Übungs/Lern) Debian Server im Betrieb und interessiere mich vorallem für Security. Ich habe schon einiges installiert wie Firewall rkhunter usw..
Jedoch konnte ich mich mit den Log Files unter Linux noch nie anfreunden.
Wie handhabt ihr das? Werft ihr einfach ab und zu einen Blick in /var/log oder gibt es da bequemere Möglichkeiten? Auch Frage ich mich, ob man die Logs von Zeit zu Zeit leeren sollte, oder kann man sie einfach verschieben und werden sie danach neu erstellt? So könnte ich immer die logs der letzten 4 Wochen oder so verschieben und die noch älteren löschen oder so..

Wie macht ihr dies? Schaut ihr sie überhaupt an?

gruss xxy

Abraxax · Beitrag von **Abraxax** » 01.07.2005 22:25:24

installiere dir mal das paket logwatch. damit bekommst du täglich eine zusammenfassung.

xxy · Beitrag von **xxy** » 01.07.2005 22:34:14

hi,
danke! schaue mir das einmal an..

gruss xxy

//Edit:
Falls jemand auch etwas über logcheck sucht ich habe hier [1] ein Tutorial gefunden.
Einfacher unter dem Tripwire Post nachschauen.

[1] https://knecht.homelinux.net/phpBB2/viewtopic.php?t=264&

elchtreiber · Beitrag von **elchtreiber** » 02.07.2005 02:11:17

logcheck ist, finde ich, sehr nützlich. wer hat schon regelmäßig die logs womöglich mehrere server im blick. und eine gefilterte auswahl der logs per mail ist doch da was schönes!

aber beim debuggen kann z.B. auch mal ein
tail -f /var/log/syslog (o.a.)
gute dienste leisten. einfach mal aktion ausführen die sonst fehler produzert und auf anderer konsole die fehler analysieren. loglevel hochstellen kann dabei auch sinnvoll sein.

Auch Frage ich mich, ob man die Logs von Zeit zu Zeit leeren sollte, oder kann man sie einfach verschieben und werden sie danach neu erstellt?

meiner meinung nach werden die logs eh über diverse cronjobs gepackt/archiviert.

viele Grüße,
André

berlinerbaer · Beitrag von **berlinerbaer** » 02.07.2005 07:44:25

Abraxax hat geschrieben:installiere dir mal das paket logwatch. damit bekommst du täglich eine zusammenfassung.

ich habe mir das auch eben angesehen, welche sollte man installieren?
fwlogwatch oder logwatch

Kann fwlogwatch auch meinen Hardwarefirewall einen DSL-Router abprüfen, das wäre ja interessant?

Und drittens, bei der Konfiguration fragt er nach einer EMail-Adresse, wohin die Warnmeldungen sollen, ist das meine normale EMail-Adresse oder eine von den zusätzlichen Anonymos, - oder ist eine Adresse auf @localhost ?

kedmanee · Beitrag von **kedmanee** » 02.07.2005 08:52:49

welche sollte man installieren?
fwlogwatch oder logwatch

'fwlogwatch' ist für 'iptables', 'ipchains' und Konsorten. Die Arbeit scheint ja bei dir schon der Router zu machen.

fwlogwatch auch meinen Hardwarefirewall einen DSL-Router abprüfen, das wäre ja interessant?

die üblichen 0815-Router werden nicht unterstützt. Hab in der config-Datei was von Cisco und Lancom gelesen.
Einige Router mailen die Logfiles auch, wenn man es entsprechend einstellt.

bei der Konfiguration fragt er nach einer EMail-Adresse

Empfehlung: root@<deinhostname>
wenn deine Mail-Einstellungen richtig sind landen die Admin-Meldungen in deinem lokalen Postfach

debianforum.de

Log Dateien auswerten.

Log Dateien auswerten.

@ peterschubert