* Wolfgang Weisselberg wrote on Tue, May 09, 2000 at 23:55 +0200:
Steffen Dettmer schrieb in 1,6K (54 Zeilen):
[remote syslog]
das geht ueber ttyS1 an einen Logrechner (der kein Netz hat), wenn wir Sicherheit wollen.
Ja, das geht auch.
Natuerlich. Ich moechte vielleicht mail.debug und *.info schnell expiren, aber *.warning lange halten und archivieren. Ich moechte vielleicht dem postmaster mail.* zum Ansehen geben, und usenet news.*, aber nicht andere Messages (da koennen z.T. ja Passworte drinstehen!, siehe pppd).
Na, ehrlich gesagt, ist mir das immer zu fummelig. Ich hab da einfach ne Liste mit "normalen" Meldungen so als regex, das wird entfernt, und der Rest z.B. per Mail verschickt (sonst vergißt man das Logfilelesen ja sowieso :)).
Aber als Admin moechte ich einen Blick in /etc/syslog.conf werfen und sagen: Ok, *da* sind *diese* logs, auch wenn ich die Maschine nicht so kenne.
:) Tja: *.* /var/log/allinone :)
Dann musst du aber z.B. priorities auch uebergeben. Das geht aber nicht so.
Ja, syslogd ist nicht so der Hammer :)
Wie soll ich jetzt z.B. lpr.info in ein File geben, was schnell rotiert wird, die lpr.=notice in ein zweites und lpr.warning in ein drittes stecken?
Gar nicht :) Wenn Du Priorities brauchst, ist's schwierig, richtig. [Hab ich ein Glück :) ]
Das geht nur, wenn ich fuer jede Priority einen FIFO oeffne.
Du hast für jede Priority eine Datei?! Ich habe maximal wichtig und ganz wichtig :)
Das ist unelegant, um es milde zu sagen. Wie heisst denn das Config-file deines FIFOs -- oder sind es mehrere?
Nee, das alte Script verwendet keine FIFOs, wartet sich besser, wenn es auch mal "sterben" kann :) Die Datei heißt dann übrigens /etc/logmail.conf.
Und was macht der FIFO mit dem Maillogs, wenn da ploetzlich statt sendmail qmail oder exim steht?
Ganz viel Mail verschicken. Dann kann ich zum Booten hingehen, weil wenn ein Attacker so frech ist, sich sendmail zu installieren, und damit vermutlich auch noch mein qmail kaputt macht, oder exim, was ich nicht mal kenne, dann muß ich eben neuinstallieren :) Jedenfalls hab ich den Kram dann wenigstens per Mail. Vielleicht findet sich da ein exploit-Hinweis...
Oder fuer jede Kombination einen FIFO haben (hinter denen hoffendlich nur ein Programm sitzt)? Sind ja nur 160 Stueck ...
Na, schaust! Die kann dann ein Script anlegen, ein syslog.conf erstellen ... :)
Jedenfalls geht das alles. Außerdem ist das Problem völlig unabhänig davon, ob ip-up auch (wie viele andere Programme) sys-loggt,
Da gehen wenigstens die Priorities.
Wieso? Warum gehen die Priorities nicht, wenn ip-up logger verwendet?! Ich denke wir reden aneinander vorbei. Macht aber nix :)
Und jetzt sieh das Problem mal mit .. uh, 1000 Maschinen und Fernwartung.
Ja, viel Spaß beim Logfile lesen :) Nee, ich kann mir nicht vorstellen, daß es ansatzweise Sinn macht, sowas regelmäßig lesen zu wollen... Na, ich lasse einfach die Files rumliegen, auf wichtigen Maschinen z.B. 1 Jahr oder so. Sind meist auch bloß ein paar MB. Na, und 90% davon ist Standard-Kram, kann man filtern, spart ungemein Platz. Ich hab's sowieso viel lieber in einer Datei, weil man dann Zusammenhänge gut erkennt, z.B. illegaler Telnet, FTP und Mail Zugriff fällt mehr auf, als nur ein Mail-Zugriff :) Aber natürlich hast Du Recht, auf Mailservern macht sich ein extra mail-Logfile nicht schlecht. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com