Denyhost Frage

Lord_Icon

Lord_Icon

Member
Hi

ich logge meine SSH Zugriffe in SQL.
Damit habe ich in mein Programm eine gute Übersicht.

Seit ein paar Tagen nerven mal wieder die BrutesForce Angriffe.

Deshalb Denyhost was auf meine anderen Server sehr gute Dienste leistet.
ABER: Wie schaffe ich es denn, das Denyhost nicht in message sucht sondern in SQL.?

Bzw. ggf. würde ich es ja auch doppelt loggen wollen.
ISt dies mit dem syslog-ng möglich?
Also einmal die SSH Logs in eine Datei UND in SQL zu loggen ?


Danke
 
Lord_Icon said:
Also einmal die SSH Logs in eine Datei UND in SQL zu loggen ?
Click to expand...
Ohne jetzt genau recherchiert zu haben: Ja, das sollte gehen. So gut wieder brauchbare Syslog-Daemon kann Einträge in mehrere Ziele gleichzeitig schreiben, etwa in eine lokale Logdatei und auf einen Remote Log-Host. Also sollte das mit der Datenbank ebenfalls klappen.
 
ah... DAS ist ja erstmal erfreulich.
Denn denyhost scheint nicht mit SQL umzugehen zu wollen. Zumindest zeigt googel nicht davon an.

Leider genau so wenige Einträge bezüglich syslog-ng und das doppelte Eintragen von einem Log :-(

So trage ich es derzeitig ein:
Code: 
destination auth {program("/usr/bin/mysql --user=syslog--password=******* syslog"
template("INSERT INTO auth (host, facility, priority, level, tag, datetime, program, msg) VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY $HOUR:$MIN:$SEC','$PROGRAM', '$MSG'
);\n")
template-escape(yes)); };
log { source(src); filter(f_auth); destination(auth); };

Ich hab jetzt schon an verschiedenen Stellen einfach mal den normalen syslog Befehl eingetragen. Leider niemals mit doppelten Erfolg.

Fraglich wäre jetzt sowie so, wo ich eingreifen müsste.
Bisher bin ich den weg gegangen, das ich destination 2fach aufteilen wollte.
Evtl. müßte ich aber auch noch einen zusätzlichen filter eintragen.

Naja... ich versuche es morgen einfach nochmal. vvlt. hat ja jm. sogar eine passende Idee wie man das ganze bewerkstelligen kann.

Danke + nachti
 
You must log in or register to reply here.
Back
Top