rsyslog.conf auth / authpriv

[braniz]

Hallo Leute.

Ich versuchen das logen von Daten / Meldungen zu verstehen.
Leider stehe ich nun vor einem Verständnis Problem bei rsyslog.conf.
Habe diesen link gefunden, verstehe so weit alles nur bei der Option auth und authpriv komme ich nicht ganz mit.

https://www.ostc.de/howtos/syslog-HOWTO.pdf
auth | 4 | Anmeldung/Authentifizierung (früher "security")
authpriv | 10 | Anmeldung/kritische Sicherheitsmeldungen

Was ist der Unterschied zwischen den beiden Einstellungen?

Danke für die Unterstützung.

B.

[Christoph Franzen]

auth | 4 | Anmeldung/Authentifizierung (früher "security")
authpriv | 10 | Anmeldung/kritische Sicherheitsmeldungen

Was ist der Unterschied zwischen den beiden Einstellungen?

„priv“ kommt von „privileged“, das heißt die Log-Datei braucht traditionell höhere Rechte, um gelesen werden zu dürfen. Dementsprechend sind kritischere Informationen eher in „authpriv“ zu finden, beispielsweise, wenn auch Paßworte drin auftauchen können. Die Grenze mußt Du selber ziehen, wenn Du was loggen willst. Ob das wirklich in zwei verschiedene Dateien kommt, entscheidest Du als Administrator Deines Syslogs auch selber. Beim Loggen sollte man aber eher vorsichtiger sein, dann kann man's später einfacher strenger machen. Wenn man einfach alles nach „auth“ schreibt, kann man es nachträglich nur mit Aufwand doch noch aufteilen, sonst ist es eine einfache Anweisung in der Syslog-Konfiguration.

[braniz]

Danke für die Antwort.

Habe ein wenig experimentiert mit der rsyslog.conf
1-Versuch log Datei ändern:
# The authpriv file has restricted access.
#authpriv.* /var/log/secure
authpriv.* /var/log/auth

Alle login Versuche werden protokolliert.
Sudo Befehle protokolliert.

2-Versuch:
# The authpriv file has restricted access.
#authpriv.* /var/log/secure
auth.* /var/log/auth

Nichts kommt an. Weder erfolgreiche login Versuche noch nicht erfolgte. Auch keine Protokoll über sudo Befehle.

Was wird mit der Option auth.* genau alles protokolliert?

Gruß

B.

[Christoph Franzen]

Hallo,

probiere es mal so und laß es eine Weile laufen:

Code: Alles auswählen

authpriv.*        /var/log/secure
auth.*        /var/log/auth

Was wird mit der Option auth.* genau alles protokolliert?

Das bestimmt, wer das Programm schreibt oder das Debian-Paket packt, manchmal ist es auch konfigurierbar. Ich weiß nicht auswendig, welches Programm voreingestellt wohin schreibt und schin gar nicht, welche davon Du installiert hast; lann gut sein, daß es bei Dir nicht benutzt wird.

Wenn Du es genau wissen willst, machst Du nach dem folgenden Muster Dateien für alle möglichen „Priority“- und „Facility“-Paare und beobachtest, ob und womit die Dateien sich füllen:

Code: Alles auswählen

auth.notice /var/log/auth.notice

. In „man syslog“ werden die gültigen Werte aufgezählt.

[braniz]

Ok. Danke.

Das hilft mir weiter.

Werde es ausprobieren wir Du gesagt hast und beobachten.

[Christoph Franzen]

Ergänzende Informationen:

http://www.ostc.de/howtos/syslog-HOWTO.html

Insbesondere steht dort, daß Du je nach Syslog-Programm die Dateien vor Benutzung selbst anlegen mußt.

Zu den Namen:
http://www.rfc-archive.org/getrfc.php?rfc=5427

Zur Netzwerkübertragung und der Codierung von „Ursprung“ und Priorität:
http://www.rfc-archive.org/getrfc.php?rfc=5427

„mark“ kommt da nicht vor, weil es nur syslog-intern gebraucht wird, das zeigt an, daß die Kiste noch lebt, aber nichts zu berichten hat, bei Netzwerkübertragung müßte man dafür also 5 („syslog“) nehmen.