Hi Leute. Ich bin gerade die Hilfe durchgegangen, hmpf! Mein Rechner meldet sich ab und zu im Internet an (dod mit Modem). Leider weis ich nicht welcher Prozess ihn dazu verleitet. Da es normalerweise zu allem und jeden einen Log gibt bin ich auf die Suche gegangen: /var/log/smpppd/accounting.log sagt: 2003-11-04 22:34:40 ppp0 u om "freenet" 2003-11-04 22:37:17 ppp0 d om 459945 48747 Jetzt dachte ich die Zahlen seien ein Prozess-Pid. Nichts da, solche Zahlen gibt es zur Zeit nicht. Nach ein bischen googeln glaube ich, daß das die übertrgenen byts sind, richtig? Wenn u=up und d=down ist, komme ich sowieso damit nicht weiter. Ich wollte jetzt nicht alle cron und sys-Anfragen einzeln durchgehen... Wo finde ich den anfragenden Prozess aufgelistet? Danke. ________________________________________________________________________ Kai Krämer Reduitstr. 19 76829 Landau +49 6341 348753
Am Mittwoch, 5. November 2003 00:01 schrieb Kai Krämer:
Hi Leute. Ich bin gerade die Hilfe durchgegangen, hmpf! Mein Rechner meldet sich ab und zu im Internet an (dod mit Modem). Leider weis ich nicht welcher Prozess ihn dazu verleitet. Da es normalerweise zu allem und jeden einen Log gibt bin ich auf die Suche gegangen:
/var/log/smpppd/accounting.log sagt:
2003-11-04 22:34:40 ppp0 u om "freenet" 2003-11-04 22:37:17 ppp0 d om 459945 48747
Jetzt dachte ich die Zahlen seien ein Prozess-Pid. Nichts da, solche Zahlen gibt es zur Zeit nicht. Nach ein bischen googeln glaube ich, daß das die übertrgenen byts sind, richtig? Wenn u=up und d=down ist, komme ich sowieso damit nicht weiter. Ich wollte jetzt nicht alle cron und sys-Anfragen einzeln durchgehen... Wo finde ich den anfragenden Prozess aufgelistet?
Hallo Kai, versuche mal den folgenden Eintrag in der /etc/ppp/ip-down.local : #/etc/ISDNDump date >>/tmp/dump.log /usr/sbin/tcpdump -i ppp0 -c 50 >>/tmp/dump.log Nach dem Verbindungsaufbau stehen dann die ersten 50 Pakete in der Datei /tmp/dump.log Gruß Jörg -- Jörg Frings-Fürst 54526 Landscheid http://www.fixundfoxi.dyndns.info http://www.trierer-single-treff.de http://www.Wetter-in-Landscheid.de -- Registered Linux User # 280687 ICQ 170365098 GPG Key ID : EB8A FFC8 1314 12E1
On Wed, 2003-11-05 at 08:16, Joerg Frings-Fuerst wrote:
Mein Rechner meldet sich ab und zu im Internet an (dod mit Modem). Leider weis ich nicht welcher Prozess ihn dazu verleitet. Da es normalerweise zu allem und jeden einen Log gibt bin ich auf die Suche gegangen:
versuche mal den folgenden Eintrag in der /etc/ppp/ip-down.local :
#/etc/ISDNDump
date >>/tmp/dump.log /usr/sbin/tcpdump -i ppp0 -c 50 >>/tmp/dump.log
Nach dem Verbindungsaufbau stehen dann die ersten 50 Pakete in der Datei /tmp/dump.log
Hallo Jörg, vielen Dank für den Tip. Werde ich mal einbauen und überwachen. Kai.
Am Mittwoch, 5. November 2003 08:16 schrieb Joerg Frings-Fuerst:
versuche mal den folgenden Eintrag in der /etc/ppp/ip-down.local : ^^^^ Sicher, dass Du die down meinst? IMHO dürfte es dort zu Spät sein und dei ip-up.local wäre eher passend.
-- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de
Am Mittwoch, 5. November 2003 21:45 schrieb Manfred Tremmel:
Am Mittwoch, 5. November 2003 08:16 schrieb Joerg Frings-Fuerst:
versuche mal den folgenden Eintrag in der /etc/ppp/ip-down.local :
^^^^ Sicher, dass Du die down meinst? IMHO dürfte es dort zu Spät sein und dei ip-up.local wäre eher passend.
Hallo Manfred, nee war schon richtig in der ip-down.local. Bei einem Eintrag in der ip-up.local sind die ersten Pakete schon weg. Bei dem Eintrag in der ip-down.local hat tcpdump vielleicht eine ganze Zeit nichts zu tun, aber bekommt auf jedem Fall das erste Paket mit das raus geht und damit die Anwahl auslöst. Gruß Jörg -- Jörg Frings-Fürst 54526 Landscheid http://www.fixundfoxi.dyndns.info http://www.trierer-single-treff.de http://www.Wetter-in-Landscheid.de -- Registered Linux User # 280687 ICQ 170365098 GPG Key ID : EB8A FFC8 1314 12E1
On Thursday 06 November 2003 01:27, Joerg Frings-Fuerst wrote:
Am Mittwoch, 5. November 2003 21:45 schrieb Manfred Tremmel:
Am Mittwoch, 5. November 2003 08:16 schrieb Joerg Frings-Fuerst:
versuche mal den folgenden Eintrag in der /etc/ppp/ip-down.local :
^^^^ Sicher, dass Du die down meinst? IMHO dürfte es dort zu Spät sein und dei ip-up.local wäre eher passend.
Hallo Manfred,
nee war schon richtig in der ip-down.local.
Bei einem Eintrag in der ip-up.local sind die ersten Pakete schon weg.
Bei dem Eintrag in der ip-down.local hat tcpdump vielleicht eine ganze Zeit nichts zu tun, aber bekommt auf jedem Fall das erste Paket mit das raus geht und damit die Anwahl auslöst.
??? ip-down wird doch erst ausgeführt, _nachdem_ die Verbindung bereits unterbrochen ist. Da wirst Du ganz bestimmt keine Pakete mehr über die Leitung tracen können, oder? Zumindest nicht die, die die Verbindung ausgelöst haben. Andreas
Am Donnerstag, 6. November 2003 07:31 schrieb Andreas Kyek:
On Thursday 06 November 2003 01:27, Joerg Frings-Fuerst wrote:
Am Mittwoch, 5. November 2003 21:45 schrieb Manfred Tremmel:
Am Mittwoch, 5. November 2003 08:16 schrieb Joerg Frings-Fuerst: [...]
Bei dem Eintrag in der ip-down.local hat tcpdump vielleicht eine ganze Zeit nichts zu tun, aber bekommt auf jedem Fall das erste Paket mit das raus geht und damit die Anwahl auslöst.
???
ip-down wird doch erst ausgeführt, _nachdem_ die Verbindung bereits unterbrochen ist. Da wirst Du ganz bestimmt keine Pakete mehr über die Leitung tracen können, oder? Zumindest nicht die, die die Verbindung ausgelöst haben.
Hallo, tcpdump wird zwar im ip-down.local gestartet, wartet dann im Hintergrund auf die ersten 50 Pakete, die von der neuen Verbindung kommen und beendet sich dann. Beim Ausführen von ip-down.local ist die Verbindung schon weg. Aus der aktuellen Verbindung kann daher nichts mehr aufgezeichnet werden. Man kann tcpdump auch manuell starten. Mit dem vorgeschlagenen Weg kann man hat man jedoch den Vorteil, das ich automatisch über einen längeren Zeitraum alle verbindungsauslösenden Pakete mitbekomme. Jörg -- Jörg Frings-Fürst 54526 Landscheid http://www.fixundfoxi.dyndns.info http://www.trierer-single-treff.de http://www.Wetter-in-Landscheid.de -- Registered Linux User # 280687 ICQ 170365098 GPG Key ID : EB8A FFC8 1314 12E1
participants (4)
-
Andreas Kyek -
Joerg Frings-Fuerst -
Kai Krämer -
Manfred Tremmel