SrvReport: Tägliche Mail vom Server

[liscom]

Hm, sry !

Denke der Fehler liegt nicht an srvreport, sondern woanders. Kommen keine Mails bei mir an (aber komischerweise auch nichts in /var/log/).....

[bravesurfer]

Hallo,

habe kürzlich folgende Meldung durch das srvreport.pl erhalten:

warning, got bogus unix line.

und ein Andermal

warning, got bogus tcp line

Kann mir jemand sagen wie diese Meldung zustande kommt und was Sie genau bedeutet?

Eine gefälschte Unix line und eine gefälschte tcp line?

Mfg


M. Clemenz

[fakespace]

Moin


erstmal dickes Lob an das script, ich finds richtig gut !

Hab mal die ganzen Beiträge dazu überflogen, und ich hoff, ich habs nich übersehen, aber meine Frage wäre:

Könnte nich auch einfach nur ne html Datei erzeugt werden, die dann irgendwoe auf dem server gespeichert wird ?

Ich hab nämlich eigentlich kein mailserver auf meinem rootie laufen, und nur für den srvreport... weiss nich, ob sich das lohnt.

Deshalb wäre ne html genu das richtige für mich ;)

[kajo0011]

warning, got bogus unix line.

und ein Andermal

warning, got bogus tcp line

Das sind Meldungen von chkrootkit. Siehe:
http://www.linuxquestions.org/questions ... adid=50711

[kajo0011]

Könnte nich auch einfach nur ne html Datei erzeugt werden, die dann irgendwoe auf dem server gespeichert wird ?

Einfach den Eintrag "MailReport" auskommentieren und "FileReport" entsprechend anpassen (in der srvreport.conf).

[neo geoz]

Nur zur Info: In der Datei intstall.txt besteht ein Schreibfehler:

(replace 'picp' with your prefered editor (e.g. 'vi', 'mcedit', ...)
->
replace 'pico'




8O

[kajo0011]

Danke!
(solange das die gravierensten Probleme sind geht es ja noch::: :-))

[Ok is weiss... das Hauptproblem ist die Doku... :-( ]

[charlie]

HI,

ist es auch möglich nur die Iptables Regeln des Srvreports auszuwerten?

Bei mir tauchen auch die Iptables Regel anderer Traffic Tolls auf und fürt zu doppeler Traffic Messung.

Beispiel:

ssh 9.9M 16.0M 25.9M
ipac~o 19.7G 0 19.7G
mail 9.7M 12.9M 22.6M
www 6.2M 182.2M 188.5M
ipac~i 0 21.1G 21.1G
ftp 16.5G 3.0G 19.5G
ftpTraffic 2.0M 3.3M 5.3M
Andere 3.2G 17.9G 21.1G
Summe 39.5G 42.2G 81.6G

[kajo0011]

Was heisst "anderer Tarffic Tools" ?
Mit "iptables" kann man nur EIN Traffic-Tool verwenden, was auf iptables basiert, sonst kannst Du die gesamten Messungen vergessen!

[mravinski]

hi all,

ein super teil, auf den suse rechnern laeuft auch alles, aber die auswertung der mailsachen auf der debian maschine will nich (debian woody mit backports)

srvreport: 0.68
postfix 2.1.4 & qpopper 4.05 loggen in /var/log/mail.log

srvreport.conf

[Postfix]
module = PostfixReport
description = Postfix
file = /var/log/mail.log
pattern = %time2

any idea

[kajo0011]

any idea

any more info !?

Wie ist "mailReportType" konfiguriert ?

Zeige doch mal ein paar Zeilen aus Deiner "/var/log/mail"...

[mravinski]

any idea

any more info !?

Wie ist "mailReportType" konfiguriert ?

mailReportType = 29

Zeige doch mal ein paar Zeilen aus Deiner "/var/log/mail"...

Sep 16 15:46:20 xxxxx in.qpopper[790]: (v4.0.5) POP login by user "xxxxxxxx" at (rechner.domain.tld) 192.168.1.20 [pop_log.c:244]

Sep 16 15:40:55 xxxxxx postfix/smtpd[780]: AD286855: client=localhost[127.0.0.1]
Sep 16 15:40:55 xxxxx postfix/cleanup[783]: AD286855: message-id=<537C11D2B7281A4FB828AB7ED779A6370A9B67@host.tld>
Sep 16 15:41:11 xxxxxx postfix/qmgr[405]: AD286855: from=<user@host.tld>, size=615011, nrcpt=1 (queue active)
Sep 16 15:41:11 xxxxxxx postfix/local[784]: AD286855: to=<user@localhost>, relay=local, delay=16, status=sent (delivered to mailbox)
Sep 16 15:41:11 xxxxxxx postfix/qmgr[405]: AD286855: removed

habe gegenueber default eigentlich nur PATH bei file angepasst;
und bei WEbserver waren ein paar anpassungen noetig

[kajo0011]

Sep 16 15:40:55 xxxxxx postfix/smtpd[780]: AD286855: client=localhost[127.0.0.1]

Um es mit diser Logzeile aufzunehmen, musst Du in der Datei PostfixReport.pm in srvreport/bin/lib/perl/SRVREPORT die Zeile

Code: Select all

        if ($line =~ /:s+([A-Za-z0-9]{10,14}|NOQUEUE):s(.+)$/i) {

durch

Code: Select all

        if ($line =~ /:s+([A-Za-z0-9]{8,14}|NOQUEUE):s(.+)$/i) {

ersetzen.
(Eigentlich wurde nur die {10,14} nach {8,14} geändert...)

Um den popper-Report zu bekommen muss ich mir noch was überlegen...

[mravinski]

Um es mit diser Logzeile aufzunehmen, musst Du in der Datei PostfixReport.pm in srvreport/bin/lib/perl/SRVREPORT die Zeile

Code: Select all

        if ($line =~ /:s+([A-Za-z0-9]{10,14}|NOQUEUE):s(.+)$/i) {

durch

Code: Select all

        if ($line =~ /:s+([A-Za-z0-9]{8,14}|NOQUEUE):s(.+)$/i) {

ersetzen.
(Eigentlich wurde nur die {10,14} nach {8,14} geändert...)

Super !! - das klappt thx a lot

[olli325]

Hi kajo0011,

ich habe mittlerweile noch nen 2. rootie.
Auf dem läuft auch Srvreport.
Leider wertet er mir aber nicht die Web-Daten vom Apache aus.
Ich habe Apache2 laufen.
Muss ich da den Pfad in der srvreport.conf von /var/log/httpd nach /var/log/apache2 ändern?

oder

ist sonst noch was zu beachten?

MfG

Olli

[kajo0011]

Für den Web-Report ist die Datei "pipelog.pl" zuständig. Hier muss der Pfad korrekt eingetragen sein und dann natürlich entsprechend in "srvreport.conf".
Wohin Du die Datei legst ist letztendlich egal...

[gabberbert]

Hi kajo,
du hattest doch einmal einen Patch heraus gebracht werlcher die FTP Logs beschränkt.

Hier der Patch (bzw. vollständiges binlibperlSRVREPORTLogReport.pm für Version 0.60; einfach über die von Version 0.60 drüberspielen und den Eintrag "lineLimit = 50" in der Konfiguration unter der entsprechenden Rubrik machen):
http://sourceforge.net/tracker/index.ph ... tid=621043

Wie funktioniert das in Version 0.68?
Muss ich da eine Dateie ersetzen, order reicht es wenn ich das lineLimit so hineinscheibe?

Danke schonmal für den Support.
Hab gestern mal geuppdatet und heut die eMail mit 12 MB empfangen :roll:

[kajo0011]

Du musst einfach nur in der srvreport.conf unter dem entsprechenden Topic (also "FTPLogs") das "lineLimit = 60" eintragen.
Das gilt genauso für die Version 0.68; siehe:

Date: 2004-08-07 20:39
Sender: jkalmbach
Logged In: YES
user_id=509272

Available since Version 0.63

[gabberbert]

Fantastisch, danke dir.
Weiter so :)

[dogholiday]

Hi,
erstmal danke für dieses wunderschöne Tool.

Aber ich bräuchte mal Hilfe, es läuft soweit alles ausser FTP. Wir benutzen vsftp unter debian und dort ist das log format scheinbar anders. Kann mir jemand bitte helfen die pattern zeile so anzupassen das es stimmt??

Das Original aus srvreport:
pattern = %o %time1 %o %o %bytes %o %o %o %o %o %vhost %o %state %o %o


Einlog auszug aus der vsftpd.log:

Wed Sep 29 21:29:20 2004 [pid 4204] [web2] OK LOGIN: Client "80.132.247.176"
Wed Sep 29 21:30:01 2004 [pid 4206] [web2] OK UPLOAD: Client "80.132.247.176", "/html/includes/function.sb_defence.inc.php", 1419 bytes, 6.09Kbyte/sec
Wed Sep 29 21:30:03 2004 [pid 4206] [web2] OK UPLOAD: Client "80.132.247.176", "/html/includes/function.sb_defence.inc.php", 1419 bytes, 6.16Kbyte/sec
Wed Sep 29 21:30:24 2004 [pid 4206] [web2] OK UPLOAD: Client "80.132.247.176", "/html/sb.php", 12774 bytes, 13.49Kbyte/sec


Oder kann ich im vsftpd.conf das logformat auf das von srvreport umstellen?? Wäre klasse wenn mir jemand weiterhelfen könnte.

Gruss DogHoliday

[kajo0011]

Das Logformat ist mal wieder etwas sehr ungewöhnlich...
Hier kommt man leider um einen Regulären-Ausdruck nicht drum rum...

Also:

Code: Select all

#pattern = 
regex = ^[^s]+s+([^s]+)s+(d+)s+[^s]+s+(d+)s+[[^[]+[([^]]+)].+[^d](d+)s+bytes
regexkeys = MONTH DAY YEAR VHOST BYTES

[dogholiday]

Scheint super zu klappen, vielen vielen Dank.

[dfusion]

Hallo zusammen,

habe srvreport 0.68 endlich auf meinem zweiten rootie laufen, jedoch noch einige Probleme damit. Zudem macht mir eine Umstellung von 0.67 auf 0.68 Probleme...

1. crontab
crontab -l brachte folgendes zum Vorschein:

• 1-46/15 * * * * /opt/srvreport-0.68/bin/srvreport.pl
  1-46/15 * * * * /root/srvreport-0.68/bin/srvreport.pl

Der zweite Eintrag wurde von mir per command eingegeben. Wo kann ich den Eintrag wieder entfernen? Ich möchte den Report nur über die /etc/crontab aufrufen.

2. httpd.conf / apache2
Wenn ich /etc/apache2/httpd.conf um die zwei Zeilen ergänze und die pipelog.pl um das Verzeichniss änder, bekomme ich trotzdem folgende Fehlermeldung:

• [main:317] Error while executing 'webserver' Could not open /var/log/apache2/srvreport_2004-10-03 at /opt/srvreport-0.68/bin/lib/perl/SRVREPORT/HttpdReport.pm line 102. (No such file or directory)

Das Verzeichniss existiert 100%, der Server läuft in dieser Config jetzt schon drei Tage, von daher sollte doch langsam mal ein File zu finden sein!?

3. apache2ctl configtest gibt immer folgende Fehlermeldung raus:

• [Sun Oct 03 23:41:35 2004] [warn] NameVirtualHost 82.165.41.8:80 has no VirtualHosts

Hat da jemand eine Idee was das Problem ist?

Update srvreport 0.67 -> 0.68
Nachdem ich srvreport Konfiguriert habe und die Einträge in der httpd.conf und im crontab geändert sind, habe ich nach 30 min. einen ./srvreport.pl --test=1 durchgeführt.
Folgende Meldungen werden in der Mail rausgeworfen:

• [main:317] Error while executing 'traffic' Could not open /opt/srvreport-0.68/bin/../data/traffic_eth0_.log at /opt/srvreport-0.68/bin/lib/perl/SRVREPORT/TrafficReport.pm line 128. (No such file or directory)
  [main:317] Error while executing 'cpuusage' Could not open /opt/srvreport-0.68/bin/../data/cpu.log at /opt/srvreport-0.68/bin/lib/perl/SRVREPORT/CPUReport.pm line 98. (No such file or directory)

Ich hoffe auf eure Hilfe!
Meine bisherigen Erfahrungen mit der 0.67 sind TOP! Vielen Dank an kajo für das tolle Script! Klasse Arbeit :)

Gruß, dfusion

[kajo0011]

1. crontab
crontab -l brachte folgendes zum Vorschein:

• 1-46/15 * * * * /opt/srvreport-0.68/bin/srvreport.pl
  1-46/15 * * * * /root/srvreport-0.68/bin/srvreport.pl

Der zweite Eintrag wurde von mir per command eingegeben.

Der erste Eintrag mit Sicherheit auch. Wer soll ihn den sonst da reingeschrieben haben?

Wo kann ich den Eintrag wieder entfernen? Ich möchte den Report nur über die /etc/crontab aufrufen.

z.B. via

Code: Select all

    export EDITOR=pico
    crontab -e

Wenn ich /etc/apache2/httpd.conf um die zwei Zeilen ergänze und die pipelog.pl um das Verzeichniss änder, bekomme ich trotzdem folgende Fehlermeldung:

Du musst natürlich auch noch den apache neu starten!!!

Code: Select all

apachectl restart

apache2ctl configtest gibt immer folgende Fehlermeldung raus:

Dies ist ein reines Apache-Problem (bzw. ein Problem mit Deiner restlichen Config; hierzu solltest Du das Problem entweder beheben, oder in den passenden Newsgroups nachfragen.

habe ich nach 30 min. einen ./srvreport.pl --test=1 durchgeführt.

• [main:317] Error while executing 'traffic' Could not open /opt/srvreport-0.68/bin/../data/traffic_eth0_.log at /opt/srvreport-0.68/bin/lib/perl/SRVREPORT/TrafficReport.pm line 128. (No such file or directory)

Warum hast Du das Update nicht an die gleiche Stelle gemacht, wie die bisherige Installation?
Es scheint aber trotzdem, dass srvreport.pl nicht aufgerufen wird...

[peha]

wollte gerade editieren, ich hatte meinen fehler gefunden

ja ich habe sie mir angeguckt
und nein, es geht auch anders.
man muss es nur mit new_chain machen statt mit add_cain dann geht das auch so wie ich es vor hatte.
wollte wie gesagt gerade editieren.

Bei mir bekomme ich bei add_chain sowie bei new_chain eine Fehlermeldung.
Hier meine iptables_setup

Code: Select all

...
  add_port mail imap
  
  add_chain gameserver
  add_port hlds_amd 27010:27040
}
...

Ausgabe die ich beim ausführen bekomme:

Code: Select all

iptables v1.2.6a: Couldn't load target `cstrike':/lib/iptables/libipt_cstrike.so: cannot open shared object file: No such file or directory

Kann mir wer weiterhelfen?