Software zur Auswertung von Linux Log files
Florian Lohoff
flo at rfc822.org
Di Apr 4 20:29:37 CEST 2006
On Tue, Apr 04, 2006 at 01:48:00PM +0200, Helmut Hullen wrote:
> Insgesamt würde ich da eher mit meinem biologisch-dynamischen
> Kleincomputer eine Weile herumsuchen und erst bei genaueren
> Anhaltspunkten mit Skripts usw. vereinfachen.
Dafuer ist logcheck super - halt "verdaechtige" oder "abnorme" meldungen
zusammenfassen. Das betrifft nicht nur einbrueche sondern generische
fehlermeldungen. Das Hirn wird dann nur noch fuer 0.1% der logzeilen
gebraucht zu entscheiden ob man dem nachgeht oder eben nicht.
> Insbesondere dann, wenn ich vermuten müsste, dass der böse Bube (sind
> ja meistens Buben) versucht haben könnte, seine Spuren zu verwischen.
Er sollte moeglichst nicht reinkommen und wenn er es versucht schon
auffallen bevor er erfolgreich wird.
Logcheck arbeitet nebenbei mit einem "match ignores" d.h. alles was ich
nicht explizit exclude aus dem logview wird angezeigt. Dadurch laufen
auch vorher nie dagewesene fehlermeldungen in den output.
Ich setze das dingen auf diversen systemen ein und lasse mir alles
unbekannte und interessante (ssh connection attempts, smartctl output,
kernel meldungen) zumailen alle 2 Stunden.
Flo
--
Florian Lohoff flo at rfc822.org +49-171-2280134
Heisenberg may have been here.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Digital signature
URL : http://lug-owl.de/pipermail/lugrav/attachments/20060404/bd4f411c/attachment.pgp