Re: Syslogging von pop3Zugriffen
Hi,
probier mal folgendes aus:
Ersetze die Zeile
mail.* -/var/log/mail
durch eine der folgenden, mit absteigender "Detailfuelle" mail.log -/var/log/mail mail.warn -/var/log/mail mail.err -/var/log/mail
Mit mail.err duerfte nicht mehr allzu viel ausser fehlgeschlagene Anmeldeversuche durchkommen.
Du kannst die Zeile natuerlich auch ganz loeschen, aber dann hast Du keinerlei Logging mehr ... wer das mag ...
habe ich entsprechend geändert. Aber keine Änderung in messages. Habe den syslogd mittels rcsyslogd restart durchgestartet aber in /var/log/mail wird nix protokoliert und in den messages steht noch immer der ipop3d Zugriff. Hier nochmal ein Auszug aus der geänderten syslog.conf: # # all email-messages in one file # mail.log -/var/log/mail mail.warn -/var/log/mail mail.err -/var/log/mail # # save the rest in one file # *.*;mail.none;news.none -/var/log/messages Wenn ich den Eintrag mail.none aus der Zeile mit den messages entferne, wird das Ganze nur noch detailierte in den Messages protokolliert. Es ist zum verzweifenln :-( -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun -------------------------------------
Hallo, Aehem ich meinte EINE der Zeilen nicht alle, also entweder oder. mit mail.log stellt man mit den genauesten Log-Level ein, den es gibt Bei meinem MailServer sieht das dann so aus: mail.* -/var/log/mail.d/smtpd.log mail.info -/var/log/mail.d/smtpd.info mail.warn -/var/log/mail.d/smtpd.warn mail.err /var/log/mail.d/smtpd.err Wobei ich ein Fan von sehr genauen Log-Files bin, und auch Zugriffe alle 10 Sekunden bei uns keine Probleme ergeben, weder in der Verarbeitung noch bei der Groesse der resultierenden Log-Files.
Hi,
probier mal folgendes aus:
Ersetze die Zeile
mail.* -/var/log/mail
durch eine der folgenden, mit absteigender "Detailfuelle" mail.log -/var/log/mail mail.warn -/var/log/mail mail.err -/var/log/mail
Mit mail.err duerfte nicht mehr allzu viel ausser fehlgeschlagene Anmeldeversuche durchkommen.
Du kannst die Zeile natuerlich auch ganz loeschen, aber dann hast Du keinerlei Logging mehr ... wer das mag ...
habe ich entsprechend geändert. Aber keine Änderung in messages. Habe den syslogd mittels rcsyslogd restart durchgestartet aber in /var/log/mail wird nix protokoliert und in den messages steht noch immer der ipop3d Zugriff. Hier nochmal ein Auszug aus der geänderten syslog.conf:
Aehem ich meinte EINE der Zeilen nicht ALLE, also entweder oder.
# # all email-messages in one file # mail.log -/var/log/mail mail.warn -/var/log/mail mail.err -/var/log/mail
Deine Konfiguration bewirkt in dem Fall, dass bei Fehlermeldungen gleich 3 Eintraege geschrieben werden versuch's doch mal mit nur den beiden folgenden Eintraegen in /etc/syslog.conf (wobei ich alles weggelassen habe, was nichts mit mail zu tun hat) mail.warn -/var/log/mail *.*;mail.none;news.none -/var/log/messages Das sollte die Flut deutlich einschraenken
# # save the rest in one file # *.*;mail.none;news.none -/var/log/messages
Wenn ich den Eintrag mail.none aus der Zeile mit den messages entferne, wird das Ganze nur noch detailierte in den Messages protokolliert. Es ist zum verzweifenln :-(
Sollte ja auch so sein, der Eintrag mail.none bewirkt, dass keine Meldung von mail in /var/log/messages landen, obwohl mit *.* vorher gesagt wurde, dass alles in /var/log/messages landen soll. Wenn Du nun mail.none loescht, nun ja, dann schreibt der syslogd jede Meldung auch in /var/log/messages gruss, Robert -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun ------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi, das heisst doch, dass wenn ich die Config so gestallte: mail.* -/var/log/mail *.*;news.none;mail.none -/var/log/messages Das alles was mit Mail zu tun hat in /var/log/mail geloggt wird und absolut nix mehr in den messages auftauchen sollte. Dem ist aber leider nicht der Fall. Egal was ich bei mail.XXX eintrage - die Zeile ipop3d wird noch immer in den messages protokliert. Zum Test habe ich mal mail.* in der Zeile messages eingetragen und die Einträge werden auch sofort detailierter in die Messages geschrieben. Hm, also ich weiss leider absolut nicht was ich da noch eintragen kann um die Info, dass jetzt jemand via pop3 auf den Server zugegriffen hat wegzubekommen. -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun -------------------------------------
Hallo, Am Mon, 08 Mar 2004, Jens Strohschnitter schrieb:
Egal was ich bei mail.XXX eintrage - die Zeile ipop3d wird noch immer in den messages protokliert.
Ich kenne ipop3d nicht, es kommt halt darauf an, wie dieser loggt (facility, loglevel). Aber syslog-ng kann was du suchst. -dnh -- If you haven't got time to RTFM, you haven't got time to whine on this mailing list.
Moin, ich habe mal ein bisschen "Debugging" betrieben. Sowie das von hier aussieht, betreibt Ihr einen uw-imap Server, der ueber den inetd gestartet wird. Das Problem liegt nun dabei, dass sich der imap-Server (der ja auch im Spiel ist bei pop3-Abfragen) an die Spielregeln der syslog.conf haelt und sich nur dorthin schreibt, wo es ihm ueber den Parameter mail. gesagt wird. Folgender Eintrag in /var/log/messages Mar 9 08:52:05 mailserver ipop3d[31696]: connect from 127.0.0.1 (127.0.0.1) kommt vom tcpd, ueber den der ipop3d vom inetd gestartet wird. Ich habe leider keine Info finden koennen, uber welche LOG_facility (also mail, kern, auth, etc.) der tcpd mit dem syslogd kommuniziert. Als Loesung koennte ich anbieten, dass Du in /etc/inetd.conf folgenden Eintrag pop3 stream tcp nowait root /usr/sbin/tcpd ipop3d durch pop3 stream tcp nowait root /usr/sbin/ipop3d ipop3d ersetzt. Dadurch ist auf meiner Testmaschine Ruhe in /var/log/messages eingekehrt, bzw. die Einstellungen in /etc/syslog.conf greifen. Nur noch eine Warnung ! Ich habe keine Ahnung, wie diese Einstellung sich unter Last verhaelt !! Also wenn, dann wuerde ich das eher zum Feierabend oder Freitagsmittag ausprobieren gruss, Robert
Hallo, On Tue, Mar 09, 2004 at 09:46:06AM +0100, Robert Paix wrote:
Als Loesung koennte ich anbieten, dass Du in /etc/inetd.conf folgenden Eintrag
pop3 stream tcp nowait root /usr/sbin/tcpd ipop3d
durch
pop3 stream tcp nowait root /usr/sbin/ipop3d ipop3d
ersetzt.
Dadurch ist auf meiner Testmaschine Ruhe in /var/log/messages eingekehrt, bzw. die Einstellungen in /etc/syslog.conf greifen.
Das Problem mit den Logs sollte damit dann gelöst sein, allerdings auf Kosten der Sicherheit. Da jetzt keine TCP-wrapper Regeln aus hosts.[allow|deny] mehr greifen. Greetings Daniel -- Kannst du mir den Sinn des Lebens zeigen? Kennst du ihn oder hast du ihn auch verloren?
-----Original Message----- From: Daniel Lord [mailto:d_lord@gmx.de] Sent: Tuesday, March 09, 2004 11:31 AM To: suse-linux@suse.com Subject: Re: Syslogging von pop3Zugriffen
Hallo,
Das Problem mit den Logs sollte damit dann gelöst sein, allerdings auf Kosten der Sicherheit. Da jetzt keine TCP-wrapper Regeln aus hosts.[allow|deny] mehr greifen.
Greetings Daniel
Tach, Ein Argument, darum habe ich doch noch tiefer geschaut: Der tcpd nutzt fuer syslogd die Facility authpriv Also sollte man in der /etc/inetd.conf die Zeile: pop3 stream tcp nowait root /usr/sbin/tcpd ipop3d stehen lassen und statt dessen die /etc/syslog.conf um folgende Zeilen erweitern bzw. aendern: Für den tcpd einfuegen: authpriv.warn -/var/log/authpriv authpriv.err -/var/log/authpriv und die Zeile *.*;cron.none;mail.none;news.none -/var/log/messages auf *.*;cron.none;mail.none;news.none;authpriv.none -/var/log/messages erweitern. gruss, Robert
Ein Argument, darum habe ich doch noch tiefer geschaut:
Der tcpd nutzt fuer syslogd die Facility authpriv
Also sollte man in der /etc/inetd.conf die Zeile: pop3 stream tcp nowait root /usr/sbin/tcpd ipop3d
stehen lassen und statt dessen die /etc/syslog.conf um folgende Zeilen erweitern bzw. aendern:
Für den tcpd einfuegen: authpriv.warn -/var/log/authpriv authpriv.err -/var/log/authpriv
und die Zeile *.*;cron.none;mail.none;news.none -/var/log/messages auf *.*;cron.none;mail.none;news.none;authpriv.none -/var/log/messages
erweitern.
Hi, super! Das wars! Jetzt werden wirklich nur fehlerhafte Authentifizierungen in authpriv geloggt. Vielen Dank an alle die sich so viel Mühe gemacht haben. -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun -------------------------------------
Hallo wollte mal bei dieser Gelegenheit nachfragen ob man auch das logging des smbd aus den messages rausbekommt ? Ich habe zwar in der smb.conf angegeben, dass alle Logeinträge nach /var/log/samba/log.SERVER geschrieben werden, aber komischerweise wird trotzdem in die messages und auch in die log.SERVER von samba geloggt. Kann mir da vielleicht nochmal einer weiterhelfen. In den man-Pages von smbd und auch syslogd habe ich nix zum Thema syslogging von samba finden können. Danke schon mal. -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun -------------------------------------
tach, siehe http://de.samba.org/samba/docs/using_samba/ch06.html unter "Logging Configuration Options" gruss, Robert -----Original Message----- From: Jens Strohschnitter [mailto:suse-linux@rwz.de] Sent: Tuesday, March 09, 2004 2:48 PM To: suse-linux@suse.com Subject: Re: Syslogging von pop3Zugriffen Hallo wollte mal bei dieser Gelegenheit nachfragen ob man auch das logging des smbd aus den messages rausbekommt ? Ich habe zwar in der smb.conf angegeben, dass alle Logeinträge nach /var/log/samba/log.SERVER geschrieben werden, aber komischerweise wird trotzdem in die messages und auch in die log.SERVER von samba geloggt. Kann mir da vielleicht nochmal einer weiterhelfen. In den man-Pages von smbd und auch syslogd habe ich nix zum Thema syslogging von samba finden können. Danke schon mal. -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun ------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
hi,
siehe http://de.samba.org/samba/docs/using_samba/ch06.html
unter "Logging Configuration Options"
yep! Habe nach längerem rumprobieren rausgefunden dass der Eintrag in der smb.conf "syslog = no" heissen muss. Steht zwar so nicht in der Doku aber es klappt - und das ist ja die Hauptsache :-) Danke. -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun -------------------------------------
participants (4)
-
Daniel Lord
-
David Haller
-
Jens Strohschnitter
-
Robert Paix