Archief - Logs, hoe ga je ermee om

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

RpR

Legacy Member
Een zeer algemene vraag. Hoe gaan jullie met je logs om?
Gebruik je bepaalde tools om waarschuwingen te zenden?
Hoe voorkom je te grote logs waardoor je /var/log partitie vol loopt of uw root partitie wanneer je een basis partitie structuur gebruikt.

Gebruik je bv externe logviewers die het lezen makkelijker maakt.

dJeez

Legacy Member
Logrotatie (vb. via anacron of logrotate) zorgt er al voor dat de logs geroteerd worden en ook beheersbaar blijven. Het heeft doorgaans geen zin van de logs tot in de eeuwigheid bij te houden (een jaartje volstaat ruimschoots, en een backup nemen op gezette tijden is ook hier aan de orde).

Ik check de logs voornamelijk als er iets foutloopt (duh). Verder laat ik ook wel eens tools los op de weblogs om wat statistische info te bekomen over bezoekers van websites en gebruik ik denyhosts om SSH login pogingen te blokkeren - op paranoïde wijze, maar da's doorgaans de beste methode :p).

Lord Kveldulv

Legacy Member
Voor de meeste logs wordt er automatisch een logrotate opgezet. If not kunt ge dat best zelf doen. Uw /var maakt ge best ook een aparte partitie, zeker een must op servers, zodat de boel niet vast loopt als de partitie vol is.
Wij gaan enkel logs bekijken als er een probleem is. Als ge een paar tiental bakken staan hebt dan is da nie doenbaar, zelfs nie voor de logwatch die via mail naar de root gaat.
Bijhouden doen we ook niet langer dan de standaard termijn. In feite heeft een lange termijn alleen nut als je gehacked wordt en de hacker kan dat een zekere tijd verborgen houden. Stel dat ge gehacked wordt dan is dat 9/10 ene die gewoon uw resources wilt misbruiken. Das nie persoonlijk en die gaat ook niks aan uw data veranderen, want anders wordt hij veel te rap gepakt. En let's be honest, als het enkel dat is gaat een bedrijf meestal ook geen klacht indienen bij de politie. En dat gaat zeker al geen jaar duren eer je door hebt dat er iets mis is he.
Voor waarschuwingen, zoals een te hoge load, onverwacht hoge trafiek, partities die vol lopen, een bepaalde service die gestopt is,... kunt ge tools gebruiken zoals Cacti, Nagios,... die via snmp een aantal waarden uitlezen.

dJeez zei:
gebruik ik denyhosts om SSH login pogingen te blokkeren - op paranoïde wijze, maar da's doorgaans de beste methode :p).

Zet uwe sshd gewoon op een andere poort en ge gaat geen enkele poging meer zien toekomen :)

dJeez

Legacy Member
Lord Kveldulv zei:
Zet uwe sshd gewoon op een andere poort en ge gaat geen enkele poging meer zien toekomen :)
Voor scriptkiddies is dat misschien een oplossing, voor het betere werk echter niet. En 't is beter voorkomen dan genezen.

Lord Kveldulv

Legacy Member
Idd. Heb zo ooit es 50 000 attempts gehad op 24h tijd. Kwas het beu en de sshd poort veranderd en het komende jaar welgeteld 0 attempts nog gehad.
Ne goeie die u moet hebben gaat trouwens geen brute force op de ssh doen.

Coax

Legacy Member
Ik gebruik logwatch om elken dag een klein resuméke te krijgen van wat er met de servers gebeurt is. Laat dan zien wie er allemaal ingelogd is via ssh, hoeveel disk space er nog vrij is, en afhankelijk van de daemons zijn er dan een aantal statistiekskes...

Voor sommige logfiles zoals die van apache of squid is er software te vinden die dan schoon samenvattingskes maakt, zoals awstats of sarg.

Als ge iets aan het testen zijt, is het gemakkelijk om nen tail -f te doen op de relevante logfile, om te zien wat er gebeurt.

En dan is er nog het magische commando grep. :-)

Lord Kveldulv

Legacy Member
In sshd_config "Port 1234" toevoegen, by default is het 22, en de sshd restarten.
/etc/ssh/sshd_config al kan dat verschillen van distro tot distro.

Als dat een bak is waar ge geen fysieke toegang tot hebt, let dan wel op dat ge de juiste poort opent in de firewall. Anders sluit ge uzelf buiten.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan