/var/log/messages überflutet

Post by **m18** » 2003-12-28 16:56

Hab mir grad bissel meine logfiles angesehen, dabei is mir aufgefallen das die kernel logs und die messages mit solchen meldungen überflutet sind:

Dec 28 16:44:14 p15105672 kernel: IN=eth0 OUT= MAC=00:20:ed:37:8d:31:00:20:ed:50:6a:ca:08:00 SRC=217.160.133.251 DST=217.160.133.78 LEN=223 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=64715 LEN=203
Dec 28 16:44:14 p15105672 kernel: IN= OUT=eth0 SRC=217.160.133.78 DST=152.66.73.58 LEN=134 TOS=0x00 PREC=0x00 TTL=64 ID=32 DF PROTO=TCP SPT=52289 DPT=36547 WINDOW=57920 RES=0x00 ACK PSH URGP=0
Dec 28 16:44:14 p15105672 kernel: IN=eth0 OUT= MAC=00:20:ed:37:8d:31:00:00:5a:9d:12:52:08:00 SRC=152.66.73.58 DST=217.160.133.78 LEN=89 TOS=0x00 PREC=0x00 TTL=42 ID=36536 DF PROTO=TCP SPT=36547 DPT=52289 WINDOW=8576 RES=0x00 ACK PSH URGP=0
Dec 28 16:44:14 p15105672 kernel: IN= OUT=eth0 SRC=217.160.133.78 DST=152.66.73.58 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=32 DF PROTO=TCP SPT=52289 DPT=36547 WINDOW=57920 RES=0x00 ACK URGP=0
Dec 28 16:44:14 p15105672 kernel: IN=eth0 OUT= MAC=00:20:ed:37:8d:31:00:00:5a:9d:12:52:08:00 SRC=152.66.73.58 DST=217.160.133.78 LEN=182 TOS=0x00 PREC=0x00 TTL=42 ID=36537 DF PROTO=TCP SPT=36547 DPT=52289 WINDOW=8576 RES=0x00 ACK PSH URGP=0
Dec 28 16:44:14 p15105672 kernel: IN= OUT=eth0 SRC=217.160.133.78 DST=152.66.73.58 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=17469 DF PROTO=TCP SPT=52289 DPT=36547 WINDOW=57920 RES=0x00 ACK URGP=0

scheint so als würde jeder zugriff gelogt werden, is ja toll, nur sprengt das meine logfiles und vor allen dingen hat das in messages nix verloren, wie kann ich das abschaffen?

Post by **captaincrunch** » 2003-12-28 17:01

Schalt deine "Firewall" halt aus .... oder lass sie wenigstens nicht jeden Sch... loggen ;)

Post by **m18** » 2003-12-28 18:23

Macht iptables die einträge oder?
Wo kann ich das loglevel runtersetzen?
Und wenn ich es runtersetz sind dann die trafficlogs für IAM nicht mehr vollständig?

Post by **captaincrunch** » 2003-12-28 19:24

Macht iptables die einträge oder?

Ja.

Wo kann ich das loglevel runtersetzen?

Durch geeignete Konfiguration.

Und wenn ich es runtersetz sind dann die trafficlogs für IAM nicht mehr vollständig?

Keine Ahnung. IAM kenne ich nicht.

Btw.: -> Datentransfer und Backup, das ganze hat nichts mit Security zu tun.

Post by **m18** » 2003-12-28 20:04

Verschieben ist ok, wusste ned wo es richtig reinpasst.

Ansonsten sorry Cpt. aber richtig geholfen is mir dadurch ned.

Zitat:
Wo kann ich das loglevel runtersetzen?

Durch geeignete Konfiguration.

Genau das is der springende Punkt, ich hab ned nach dem wie sondern nach dem wo gefragt ;)

Das Problem ist das der sämtliche losfiles mit den meldungen füllt, ich hätte es halt gern das er solche meldungen in ein file z.b. iptables.log schreibt

Post by **giffi** » 2003-12-28 20:25

Hi,

Code: Select all

man syslogd

bzw.

Code: Select all

/etc/syslog.conf

sind da sicher hilfreich
Ich hab das ganze mit syslog-ng gelöst
weil ich die config mit dem normalen syslog nich so hinbekommen
hab.

Giffi

Post by **m18** » 2003-12-28 22:49

Danke griffi, nur hab ich leider nix gefunden wie ich die iptables meldungen an ein logfile binden kann :(

Post by **captaincrunch** » 2003-12-29 07:48

http://iptables-tutorial.frozentux.net/ ... #LOGTARGET

Stichwort "--log-level".

Post by **m18** » 2003-12-29 13:22

Danke Cpt. habs mir angeschaut, aber auch das hilft mir leider nix. Weil ich ja das log-level ned runtersetzen kann aufgrund der traffic berechnung. Ich möchte "lediglich" das geloggt an ein File binde. Weißt du dafür ne spezifische Lösung?

Post by **floschi** » 2003-12-29 13:41

Es steht in dem IAM-Howto in der FAQ, wo man wie das Logging ausschaltet ;)

Post by **m18** » 2003-12-29 13:49

@ olfi: Klingt super und trotzdem funzt das Traffic Counting weiterhin?

Kannst mir vlt nen Link zu dem IAM Howto FAQ geben? :) Weiß jetzt grad ned welches du meinst. Ich kenn nur das howto von debianhowto.de :)

Post by **oxygen** » 2003-12-29 14:04

oben auf faq oder howto klicken, und ja iam funktioniert weiterhin.

Post by **captaincrunch** » 2003-12-29 14:21

Weißt du dafür ne spezifische Lösung?

Ja. Genau die, die ich gepostet hatte. Durch log-level kannst du in Verbindung mit syslog alles, was iptables angeht in ein eigenes File loggen lassen.

Post by **floschi** » 2003-12-29 14:22

Die Howtos sind fast identisch, habe ja beide ich geschrieben *g*

Allerdings ist in beiden das Logging ausgeschaltet, evtl. hast du das einfach nur übersehen?

Post by **m18** » 2003-12-29 15:04

Das muss ich daheim gleich mal schaun :)

Eine Frage hab ich allerdings noch weil wir grad dabei san :)

Kann es sein das mir der IAM report traffic doppelt anzeigt von eigenen chains? Ich mein damit das er mir sagen wir mal port 55555 einmal in der chain dafür richtig logt aber auch nochmal anzeigt unter "alles andere - keine chain"?

Post by **m18** » 2003-12-30 07:23

Danke @ all: Das wars natürlich :) Ich kann mich sogar an den abschnitt erinnern, fragt mich ned warum ich ihn ned übernommen hab. Vlt wollte ich erstmal testen obs läuft. Auf jeden Fall thx.

Hab die Dateien nochmal geschaut er hats zuvor in /var/log/messages /var/log/kern.log /var/log/syslog

geschrieben -> Waren groß wie hölle :)

RootForum Community

/var/log/messages überflutet

/var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet

Re: /var/log/messages überflutet