RootForum Community

Hi,

ma so ne Frage neben bei muss ich eigentlich ein Rootkit drauf mach?
Oder einfach aus der Conf schmeißen.
Wie sieht es mit einer grafischen Darstellung der Ziel und Herkunfts Adressen aus?
Oder Trafficstopp?

mfg charlie

wenn du es nicht willst, kannst Du es einfach aus der konf schmiessen. Es reicht dabei aus, wenn Du es aus dem "order" Eintrag entfernst.

Graphische Darstellung der Ziel/Herkunfts-Adressen !? :?:
Traffic-Stopp !? :?:

Kannst Du mir da mal ein Beispiel machen / zeigen ?

Moin,

habe da mehr so an ein Router gedacht.... :idea:
Tafficstop bei einer Domain die nur 100 Mb auf www und/oder Mail hat. Werden halt die Logs nicht her geben. Was auch für einen Router eher schlecht ist, der eher fliesenden Traffic messen soll. Aber PortSenitey könnte man noch einbauen?

mfg charlie

aehm... wurde ich überlesen :(

Nein, du wurdest nicht überlesen...
Mein Tool kann halt leider nicht irgendwelche Berechtigungen übergehen...

Wenn Du eine Analyse des xfer-logs willst, dann muss es das Tool halt lesen können...
Hierzu gibt es dann halt verschiedene Ansätze:
1. Lass es als root laufen (was natürlich aus sicherheitsgründen nicht so toll ist)
2. Lass es als was anderes laufen und setze die Berechtigungen entsprechend
3. Verzichte auf die Analyse des xfer-logs

Greetings
Jochen

PS: Auch wenn es sich blöd anhört und nix neues ist, ich kann halt die Siehcerheit von Linux auch nicht umgehen... :?

Nee, das war mir schon klar :)

Also als root, muss nicht sein. Trozdem muss ich irgendwie ne lösung finden, finde dein Tool echt klasse :)

Wie sieht es den aus, wenn ich die xferlog aus der gruppe von root nehme und diese einer anderen gruppe zu ordne ?! Gibt das Probleme ?!

Bzw. könnte man das auch nicht irgendwie wie die Pipelog für Apache realisieren ?!

Gruß Dennis

SF hat gerade Probleme mit dem Download. Die Version 0.33 gibt es hier:
http://srvreport.chosting.de/srvreport-0.33.tgz

moin,

wie sieht das bei den samba Logs aus, in die richting schon mal geschaut?

mfg charlie

Was sind denn samba logs ? ( :-D ) (War natürlich ein Witz).

Ich hab keine... wenn Du mir welche schickst kann ich da vielleicht was machen...

Wenn es nur um die Log-Zeilen geht, dann kannst Du auch den normalen LogReport verwenden, sollte eigentlich gehjen (wenn Du mir eine Log-Zeile zeigst, dann kann ich DIr auch den Pattern-String zeigen).

Greetings
Jochen

Hi,

ich denke mal das ich bei samba auch ein CustomLog Format angeben muß. Im samba log stehen sonnst nur errors.
Was auch noch super wäre, wenn du das VPN (ipsec) einbauen kannst?

mfg charlie

Wie gesagt... schick mir die logs (da ich keine habe) und dann sag ich dir was du in der srvreport.conf hinzufpgen musst (wenn es nur um die Log-Zeilen geht, dann ist es nur eine frage der Konfiguration)

Wenn du jetzt graphische oder sonstige Auswertungen haben willst, musst Du ein wenig mehr details rausrücken...

Greetings
Jochen

Erstmal Glückwunsch zu diesem echt klasse Tool.

Nun habe ich aber den pureftp laufen und bekomme keine
ftp log Auswertung. In welchem Format muß denn die Log Datei
vorliegen?

THX Nordmann

Schick mir doch mal ein paar Log-Zeilen, dann kann ich es einrichten.... oder aber Du liest dir die (noch etwas drüftige) docu in srvreport.conf und der Homepage durch...

Was ist da los ? :)

See:
http://www.linuxquestions.org/questions ... 02/4/47083

Hallo, immer kurz nach 0.00 Uhr bekomme ich folgende Meldung per Mail:

Could not open /var/log/httpd/srvreport_2004-02-04 at /root/tools/srvreport-0.29/bin/lib/perl/SRVREPORT/HttpdReport.pm
line 78.

Sicher hat das mit der noch nicht erstellten srvreport_2004-02-04 zu tun!?

Hallo,
habe mir srvreport0.35 installiert. Klappt alles einwandfrei, bis auf die mails die ich bekomme. Ich benutze PegasusMail. Dort werden die Grafiken angezeigt, aber leider sind die Spalten sehr schmal, so dass das ganze ziemlich unleserlich wirkt. Ã?ber den Befehl "open in browser" kann ich das ganze dann an den IE weitergeben. Dort sieht die Formatierung viel besser aus, aber leider fehlen dann die Grafiken. Im Quelltext steht z.B. <img src="cid:lightgreen.png" height="100" width="4" alt="0.01. Die Grafiken liegen aber im selben Verzeichnis wie das html-File auch. Woher kommt das cid:? Kann man das irgendwie rauskriegen, oder warum sieht die Formatierung in Pegasus Mail so schlimm aus.
Ich hoffe es kann mir jemand weiterhelfen; super Tool!

Sers,

ich habe gestern das prog auch installiert, nur bekomme ich keine mail und die dateien werden auch nicht abgespeichert im html verzeichniss.
die srvreports in /var/log/httpd/servreport_xxxxx sind auch vorhanden......
woran kann das liegen ???? bekomme auch keine fehlermeldung soweit ich das gehsehen habe

Hallo,
also ich hab auch ein Problem mit dem Mail bekommen. Wenn Test auf 3 steht und ich das script manuell ausführe bekomme ich die Mail. Stelle ich aber test auf 0 und lasse das ganze über cron wie beschrieben ablaufen, bekomme ich keine mail.
Was könnte da falsch sein.

Gruss, Klaus

ist kajo0011 noch der Ansprechpartner? :)

adjustMan wrote:ist kajo0011 noch der Ansprechpartner? :)

Es kann natürlich auch wer anders die lösung sagen, wenn jemand das problem auch hatte und gelöst hat..... 8)

Sorry, dass ich so lange nicht da war...
Jetzt aber...

bzgl. nicht gesendeter Mails:
Die Mail sollte eigentlic immer nachts verschickt werden, wenn TEST auf 0 steht (was ja der Normalfall ist)...
Eine Bedingung ist aber noch notwendig: Der Cron-Job muss zwischen 23:59:30 und 00:02:30 aufgerufen werden.
Also, wenn der Cron-Job in dieser Zeit ausgeführt wird, wird eigentlich eine Mail geschickt...
Poste doch mal den Cron-Eintrag...
Die Zeitspanne in der es ausgeführt wird damit eine Mail versickt wird, könnte man auch ändern (srvreport.pl Zeile 402)
Falls dies auch keine Abhilfe schafft, könnte mir mal jemand die Configurations-Datei senden, vielleicht fällt mir da was auf...

bzgl. Pegasus-Mail:
ich habe leider keine Ahnung, was man da machen kann; auch hab ich mich nicht informiert, woher das "cid:" kommt; vielleicht kann man es ja auch weglassen? Hat da jemand eine Ahnung? Sonst muss ich mich doch mal informieren...

bzgl. nicht erstellten HTML-Files:
Wenn der Pfad in der Konfigurations-Datei korrekt gesetzt ist, so sollten die HTML-Dateien auch jede Nacht abgespeichert werden; wenn Du natürlich auch keine Mail bekommst, dann wird vermutlich auch keine Datei erzeugt (siehe obigen Punkt)

Greetings
Jochen

PS: Nochmals sorry für die Verspätung.

crontab:
SHELL=/bin/sh
PATH=/usr/bin:/usr/sbin:/sbin:/bin:/usr/lib/news/bin
MAILTO=root
#
# check scripts in cron.hourly, cron.daily, cron.weekly, and cron.monthly
#
-*/15 * * * * root test -x /usr/lib/cron/run-crons && /usr/lib/cron/run-crons >/dev/null 2>&1
59 * * * * root rm -f /var/spool/cron/lastrun/cron.hourly
14 0 * * * root rm -f /var/spool/cron/lastrun/cron.daily
29 0 * * 6 root rm -f /var/spool/cron/lastrun/cron.weekly
44 0 1 * * root rm -f /var/spool/cron/lastrun/cron.monthly
1-46/15 * * * * /root/srvreport-0.35/bin/srvreport.pl

--------------------------------------------------------------------------

servreport.conf


# if set to 1, it will also display the time of the report-generation
ReportWithTime = 1

MailReport = webmaster@xxxxx.tld

FileReport = ../web/html/%%YYYY-%%MM-%%DD.html
FileReportImgPath = ../../images/
# if you change the following to 1, then a file-report will created on every call
FileReportCreateAlways = 0
#FileReportChOwn = web1:ftponly


# 0: No TEST; normal behavior
# Bit 0: report-generation with the current day
# Bit 1: cyclic-call
# Bit 2: call reportFinished (only available if Bit 0 is also set)
# Bit 3: output to stdout
TEST = 0


order = Traffic CPUUsage WebServer FTPServer FTPLogs Postfix Warnings LastLogins


[Traffic]
module = TrafficReport
description = Traffic report
file = /proc/net/dev
interface = eth0:
pattern = %interface %in %o %o %o %o %o %o %o %out

[CPUUsage]
module = CPUReport
description = CPU Usage
file = /usr/bin/uptime |
regex = load average:s+d.dd,s+d.dd,s+(d.dd)

[LastLogins]
module = LogReport
description = Last logins
file = /usr/bin/last |
pattern = %o %o %o %o %time4

[Warnings]
module = LogReport
description = Warnings
file = /var/log/warn
pattern = %time2

#you can also defined your own custom regex
#regex = ^([^s]+)s+([^s]+)s+

#if you have a custom regex and you doe not want the whole file,
# you should specify the keys of the matches
# Known keys are at the moment:
# YEAR MONTH DAY HOUR MIN VHOST BYTES STATE INTERFACE OUT IN
# LogReport only uses YEAR MONTH and DAY
# but this syntax apllies to all modules (Httpd, Postfix CPU Traffic)
regexkeys = MONTH DAY

# you can also set "pre" to 1, so it will be display within an pre-html-tag
pre = 1


[FTPLogs]
module = LogReport
description = FTP-Logs
file = /var/log/xferlog
pattern = %o %time1


[WebServer]
module = HttpdReport
description = Web-Server
# variables in "file":
# %%YYYY: Year
# %%MM : Month (always 2 decimals, e.g. "02", "10")
# %%mm : Month (1 or 2 decimals, e.g. "2", "10")
# %%DD : Day (always 2 decimals, e.g. "06", "21")
# %%dd : Day (1 or 2 decimals, e.g. "6", "21")
file = /var/log/httpd/srvreport_%%YYYY-%%MM-%%DD
wholeFile = 1
# Warning: The following will delete the file after the report is generated!!!
deleteFile = 1
showHTTPStatus = 1

# Example:
# The following is the entry in the apache config-file:
# LogFormat "%v "%{Host}i" %h %t "%r" %>s %b" srvreport
#
# And here is an example of an log-entry:
# jesustotal.de "www.jesustotal.de" 66.196.72.81 [07/Jan/2004:00:07:09 +0100] "GET /impressum.php HTTP/1.0" 200 9719
#
# The following patterns can be used:
# %o: Ignored
# %time1: Time in the form of "May 18 09:05:21 2003"
# %time2: Time in the form of "May 18 09:05:21"
# %time3: Time in the form of "[07/Jan/2004:00:07:09 +0100]" (" +0100" is optional)
# %time4: Time in the form of "Max 18"
# %time5: Time in the form of "2004-01-30 15:34:11"
# %state: State of the request (e.g. 200)
# %bytes: Bytes transfered (e.g. 9719)
# %vhost: Virtual host
#
# If right after the percent (%) a apastrophe (") is found, then this is used as 'encapsulated' character

pattern = %o %"vhost %o %time3 %"o %state %bytes


[FTPServer]
module = HttpdReport
description = FTP-Server
file = /var/log/xferlog
# Sun May 18 09:05:21 2003 2 62.46.204.237 49 /html/images/empty.gif b _ i r web2 ftp 0 * c
pattern = %o %time1 %o %o %bytes %o %o %o %o %o %vhost %o %state %o %o
showHTTPStatus = 0


[Postfix]
module = PostfixReport
description = Postfix
file = /var/log/mail
pattern = %time2
popperAnalyze = 1
showClientName = 1
pre = 1


# [ChkRootKit]
# module = LogReport
# description = Check for Rootkit
# file = /root/scripts/chkrootkit-0.43/chkrootkit |
# regex = INFECTED

Na, eigentlich sollte er korrekt die Mail verschicken....
Wann wird den der Cron-Job tatsächlich ausgeführt ? (/var/log/messages)

kajo0011 wrote:PS: Nochmals sorry für die Verspätung.

Na das ist ja nun nicht nötig. :) Du hast die Arbeit und entschuldigst Dich noch ..