logwatch und POP3

Willi

Member
Hallo,

ich habe einen Suse 10.3 Server und darauf logwatch 7.3.6 installiert. Ich habe es inzwischen auch soweit das ich ein paar Auswertungen erhalte. Ich dachte zwar das mehr Dienste ausgewertet werden, aber das soll jetzt erstmal nicht interessieren.

Was mich jetzt interessiert sind die Einträge bei POP3. Der Anfang ist noch klar und erwartet und zeigt mir Successful Logins getrennt nach Usern an. Danach kommt aber eine ewig lange Liste mit verschiedenen LOGOUTs und LOGINs die angeblich Unmatched sind. Die User und IP-Adressen sind allerdings okay. Wo, und vor allem wie, kann ich konfigurieren das diese Einträge als okay erkannt werden was sie meiner Meinung nach sind?

Ich hänge noch ein paar kleine Auszüge des Outputs an damit klar ist was ich meine.

Grüße,
Willi

Code:
--------------------- POP-3 Begin ------------------------ 

 
 [POP3] Connections:
 =========================
                                                          Host | Connections
 ------------------------------------------------------------- | -----------
                                                     127.0.0.1 |         572
 ---------------------------------------------------------------------------
                                                                         572
 
 
 
 [POP3] Successful Logins:
   User [email protected]: 
     From 0.0.0.0: 7 Time(s)
     From 1.1.1.1: 3 Time(s)
   Total 10 Time(s)

.
.
.
.
.

 Total 248 successful logins
 
 
 
 **Unmatched Entries**
    1233329528.603705 LOGOUT, [email protected], ip=[0.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/xxxxx.de/yyyy/Maildir: 1 Time(s)
    1233333733.777325 LOGOUT, [email protected], ip=[0.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/xxxxx.de/yyyy/Maildir: 1 Time(s)
    1233333733.793322 LOGOUT, [email protected], ip=[0.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/xxxxx.de/xxxx/Maildir: 1 Time(s)
    1233333794.343079 LOGOUT, [email protected], ip=[0.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/xxxxx.de/xxxx/Maildir: 1 Time(s)
    1233334227.414851 LOGOUT, [email protected], ip=[0.0.0.0], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/xxxxx.de/yyyy/Maildir: 1 Time(s)
    1233334227.453062 LOGOUT, [email protected], ip=[1.1.1.1], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/xxxxx.de/xxxx/Maildir: 1 Time(s)
    1233334227.461308 LOGOUT, [email protected], ip=[1.1.1.1], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/xxxxx.de/yyyy/Maildir: 1 Time(s)
.
.
.
    IMAP connect from @ [0.0.0.0]IMAP connect from @ [0.0.0.0]INFO: LOGIN, [email protected], ip=[0.0.0.0]: 12 Time(s)
    IMAP connect from @ [0.0.0.0]IMAP connect from @ [0.0.0.0]INFO: LOGIN, [email protected], ip=[0.0.0.0]: 7 Time(s)
    IMAP connect from @ [0.0.0.0]INFO: LOGIN, [email protected], ip=[0.0.0.0]: 7 Time(s)
    IMAP connect from @ [0.0.0.0]INFO: LOGIN, [email protected], ip=[0.0.0.0]: 56 Time(s)
    IMAP connect from @ [1.1.1.1]IMAP connect from @ [1.1.1.1]IMAP connect from @ [1.1.1.1]IMAP connect from @ [1.1.1.1]INFO: LOGIN, [email protected], ip=[1.1.1.1]: 1 Time(s)
    IMAP connect from @ [1.1.1.1]IMAP connect from @ [1.1.1.1]IMAP connect from @ [1.1.1.1]INFO: LOGIN, [email protected], ip=[1.1.1.1]: 1 Time(s)
    IMAP connect from @ [1.1.1.1]INFO: LOGIN, [email protected], ip=[1.1.1.1]: 8 Time(s)
    IMAP connect from @ [1.1.1.1]INFO: LOGIN, [email protected], ip=[1.1.1.1]: 75 Time(s)
 
 ---------------------- POP-3 End -------------------------
 
Last edited by a moderator:
Ich habe inzwischen ein Perl-Script gefunden das wohl die POP3-Einträge verwaltet. Aber meine Perl-Kenntnisse tendieren leider gegen null. Hat keiner einen Tip?
 
Eine saubere Methode seinen Logwatch anzupassen ist wie folgt:
Du kopierst das Script von /usr/share/logwatch/ in die passende Verzeichnisstruktur unter /etc/logwatch/.
Dort (und nur dort!) bearbeitest Du dann das Script.

Die "Ignor-Filter" findest Du relativ am Anfang. Suche nach "ignor" oder "don't care" oder ähnliches. Z.B: so:
Code:
      ($ThisLine =~ /^timeout, user=/i) or
      ($ThisLine =~ /^connection, ip=/i)
   ) {
      # Don't care about these...
Dort setzt Du Deinen Zeile einfach hinzu. Achte darauf, das ggf. ein "or" hinzugefügt werden muss!

Aber bevor Du anfängst, solltest Du prüfen, ob dieses POP3-Script überhaupt das richtige ist. Da Du rein gar nichts über Dein System geschrieben hast, kann ich z.B. nicht sagen, ob es eher ein Config-Fehler im Logwatch ist. Denn Logwatch testet (ohne Config) einfach munter drauf los, bis er ein passendes Script gefunden hat. Allein für POP3 liefert er aber mind. 3 Scripte mit. Welches davon er nehmen soll, stellt man mit Kopien aus /usr/share/logwatch/default.conf/... nach /etc/logwatch/conf/... ein.

huschi.
 
Zuerst mal vielen dank für die Antwort. Hier dann mal ein bisschen was zu meinem System.

Suse 10.3 bei Strato
logwatch 7.3.6 ohne weitere Anpassungen bisher (ausser der Mail-Adresse)
QMail

Ich tippe ja auch eher auf einen Fehler im LogWatch-config da mir die Anzahl der Verbindungen die vor den Fehlermeldungen angezeigt werden als zu niedrig erscheint.

Bitte zögere nicht zu sagen das noch was fehlt. Ich will hier aber nicht zu viel unnötiges einstellen.

Grüße,
Willi
 
Soll ich irgendwelche Config-Dateien posten? Ich will halt wie gesagt nicht unnötig viel einstellen.
 
Also POP3 ist tatsächlich das Script das angezogen wird. Ich habe alle Scripts deren Namen "POP" enthalten kopiert und einen Print reingemacht. Nur POP3 wurde von denen angezogen.
 
Jetzt bin ich noch ratloser. Ich habe aus dem Verzeichnis /etc/logwatch/scripts/services alle Scripte ausser "pop3" wieder gelöscht und darin rumexperimentiert. Dann fehlte der POP3-Teil ganz. Okay dachte ich mir, habe ich einen Fehler gemacht. Ich habe das Verzeichnis dann komplett gelöscht um nochmal den Urzustand wieder herzustellen. Aber nun wird immer noch kein POP3 mehr ausgewertet!? Und auch FTP und SSH fehlen. Die Config-Dateien habe ich nicht angefasst.

Macht es Sinn logwatch einmal zu deinstallieren und noch neu zu installieren?
 
So, nach Euren Anregungen habe ich mich mal etwas in Perl und in reguläre Ausdrücke (meine Wurzeln liegen nunmal nicht im Unix-Bereich) eingelesen und habe 2 Abfragen (jeweils eine bei Login und eine bei Logout) eingefügt und schon sieht das Ganze viel besser aus.

Warum gestern abend die Teile im Bericht fehlten weiß ich zwar auch noch nicht, aber jetzt sind sie wieder da. Fehlermeldungen waren auch nicht drin.

Nun denn. Vielen Dank und noch ein schönes Rest-WE
 
Back
Top