Die unter Block outdated clients vorgestellte Lösung funktioniert zumindest mit syslog-ng 3.4.2 nicht, da syslog-ng “lseek()” verwendet, um das Ende von z.B. /proc/net/xt_recent/irgendwas zu erreichen, während die destination program lediglich ein externes Programm startet. Mit file als destination sieht das im Log dann so aus: Aug 29 00:00:44 mx03.schaal-24.de syslog-ng[20351]: […]
Unter mitzkia.github.com/syslog-ng-ose-configurator ist ein Konfigurator für syslog-ng verfügbar. Es fehlen zwar noch ein paar Möglichkeiten, ansonsten ist das aber eine sehr runde Sache. Auch wenn ich mir nicht ganz sicher bin, ob sich eine App für eine so komplexe Config lohnt. Für einfache Installationen aber mit Sicherheit sehr geeignet,
Die pattern-db von syslog-ng ist ausgesprochen praktisch, um einzelne Messages gezielt aufteilen oder markieren zu können. Solange eine Message in ein bestimmtes Muster passt, kann diese mit einem Tag versehen werden, dass dann in der syslog-ng.conf verwendet werden kann. Als kleines Beispiel nehme ich <patterns> <pattern>Accepted publickey for @STRING:.sys.ssh.user@ from […]
Ich bin vor kurzem auf multitail gestossen. Damit lassen sich verschiedene Logfiles untereinander ausgeben. Bis vor kurzem habe ich noch tail -f /var/log/a.log /var/log/b.log verwendet. Das funktioniert zwar auch, man muss aber höllisch aufpassen, welches Log sich gerade geändert hat. Komfortabler ist da multitail. Ich verzichte hier auf eine detailierte […]
Im access.log von Apache stehen alle IP-Adressen komplett. Dies ist weder für Statistiken erforderlich noch ist das Speicher dieser Daten sinnvoll. IPv4-Adressen lassen sich recht einfach anonymisieren, in dem der letzte Teil verändert wird. Bspw. 176.9.33.188 wird zu 176.9.33.0 Für die meisten Statistik-Tools ist das völlig ausreichend. Da meine Apache-Logs […]
Es kann Probleme mit destination file geben. Eine Lösung dazu findet sich unter xt_recent mit syslog-ng. Ich habe auf meinem clamav-mirror zahlreiche Connects von veralteten Clients (> 300,000 / day). Daher trage ich die IP mit veralteten Versionen (die einen Apache-Code 403 produzieren) in die Firewall ein. Voraussetzungen: Apache HTTP-Server […]
Die meisten Logeinträge bei der Verwendung von CMS braucht man eigentlich nicht und sie verhindern eher den Blick aufs Wesentliche. Das ganze lässt sich relativ einfach durch einen Eintrag im jeweiligen vhost verhindern: SetEnvIf Request_URI “\.(txt|jpg|png|gif|ico|js|css|swf|js?.|css?.)$” StaticContent CustomLog “| /bin/logger -t apache2” combined_ispconfig env=!StaticContent Die Zeilen können auch direkt in […]