Wie wertet Ihr eure Logfiles aus ?

Lord_Icon

Lord_Icon

Member
Hi,

mich würde mal Interessieren, wie Ihr eure Logfiles auswertet ?

Das ist ja immer ne recht nervige Angelegenheit, wenn man diese per Hand sichten will.

Hab jetzt bestimmt schon einige versucht... aber irgendwie sind die alle recht kompliziert aufgebaut.

Suche ein Analayzer, der vvlt. direkt auf ein Serverinhaber gerichtet ist.
Sprich: Mir anzeigt, wenn Suhousin angeschlagen hat, oder per GET eine fremde URL inkludiert wurde... oder per SSH ein versuchter Einbruch versucht worden ist.

Solch ein plunder wie: Wann waren die meisten Besucher auf meiner HP oder ähnliches, is mir hier relativ egal.
Es kann auch kommerziell sein. Demo sollte aber vorhanden sein.

Sawmill sieht schon mal recht gut aus... is aber tierisch langsam und zeiht viel zu viel an Informationen an (z.B. Besucherstatisik)

Hat vll. einer einer Idee ?
 
Hallo,

also ich lasse mir meine Logfiles mit Logwatch auswerten. Das zeigt mir z.B. die wichtigsten Informationen zu SSH (fehlgeschlagene Anmeldeversuche), Apache ("illegal" aufgerufene und includierte Seiten), Postfix (Anzahl versende Mails und an welche Empfänger)...

Das Programm versendet auf Wunsch regelmäßig E-Mails mit all diesen Informationen. Es kann auch bestimmt werden, über welche Dienste und in welchem Umfang man informiert werden will. Also ich kanns nur empfehlen.

Gruß Tobias
 
Hi,

ich bin auch auf der Suche nach einem Programm das meinen Server überwacht und mir kritische Dinge anzeigt.
Mir würde ein Webinterface sehr nahe kommen, ich brauche keine E-Mails da ich jeden Tag den Server überprüfe und somit dann auch das Webinterface nutzen werde.
Welches ist hier leicht zu installieren, verwalten und zu analysieren sozusagen Einsteigergerecht.


Vielen Dank
 
Ossec kann ich wärmstens empfehlen. Zum einen hilft es bei der Logauswertung, zum anderen überprüft es auf Rootkits, kann Ports anhand der Logfileauswertung sperren und und und.
 
OSSEC kann ich auch nur wärmstens empfehlen.
Besonders die Überprüfung kritischer Files wie passwd etc. finde ich sehr hilfreich.
 
Ich kann Ossec nur eingeschränkt empfehlen, weil es ziemlich viel HDD-IO generiert. Sollte man nur auf Servern laufen lassen, die nicht schon halb überlastet sind.
 
Wie habt Ihr denn Ossec zum laufen gebracht ?

Ich hab mich genau an die Anleitung gehalten... aber ich bekomme im Webinterface immer nur ein:
Code: 
Unable to access ossec directory.

Also OSSEC selbst läuft.
Bekomme hier auch fleißig Emails mit irgendwelche Statuse.

Allerdings das Webinterface mit den OSSEC zu verknüpfen gestaltet sich als schwierig.

Ich hab das Programm runtergeladen und in mein Web-Verzeichniss gelegt.
Die setup.sh ausgeführt und Passwort angelegt.

In /etc.group von
uuidd:!:102:
in
uuidd:!:102:www
geändert.
Der Apache läuft bei mir unter www:wwwrun.
www sollte also stimmen.

Dann noch den tmp Ordner schreibrechte gegeben und die Gruppe www gegeben.
Den Indianer gestartet und das Webinterface aufgerufen.

Hier der Error_log Auszug:
Code: 
[Thu Sep 02 16:40:55 2010] [notice] caught SIGTERM, shutting down
[Thu Sep 02 16:40:56 2010] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Thu Sep 02 16:40:56 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Thu Sep 02 16:40:56 2010] [notice] Apache/2.2.10 (Linux/SUSE) mod_ssl/2.2.10 OpenSSL/0.9.8h PHP/5.2.12 with Suhosin-Patch configured -- resuming normal operations

[Thu Sep 02 16:41:08 2010] [error] [client 94.222.23.117] PHP Warning:  opendir(): open_basedir restriction in effect. File(/var/ossec) is not within the allowed path(s): (/srv/www/htdocs/ks011/:/tmp:/usr/bin:/usr/share/php) in /srv/www/htdocs/ks011/html/pages/ossec/lib/os_lib_handle.php on line 94

[Thu Sep 02 16:41:08 2010] [error] [client 94.222.23.117] PHP Warning:  opendir(/var/ossec): failed to open dir: Operation not permitted in /srv/www/htdocs/ks011/html/pages/ossec/lib/os_lib_handle.php on line 94

Klar fliegt OSSEC-Webinterface auf die Schna**.
Die Vhost läßt den garnicht erst aus sein Verzeichniss, was auch gut so ist.
Also wird es nie auf das /var/ossec - Verzeichniss zugreifen können.

Fraglich wie Ihr das nun zum laufen kommen hat.
Klar.. die Vhost so abändern, das dieses auch ausserhalb seiner Arbeitsumgebung draus darf. Aber irgendwie schaffe ich mir damit eine neue Sicherheitslücke.

Vllt. gibt es ja auch andere Lösungen, die ich jetzt noch garnicht berücksichtigt habe (?)
 
andreasweber said:
ln -s oder mount --bind ?
Click to expand...

Was soll ich mit diesen Informationsbrocken anfangen ?

Ich rate mal jetzt ins blaue, wobei das "oder" in deinen Satz kein Sinn ergibt.

Ich vermute, du schlägst ein Symbolischen Link zum /var/ossec Verzeichniss vor (?)
Allerdings brauche ich das nicht versuchen, da ich weiß, das dies nicht klappen wird, da dieser Link ausserhalb von vhost-Verzeichniss liegt.

mount --bind.

Hmm... mit mount mounte ich n Laufwerk oder ähnliches.
bind ist named und ist der DNS-"Server".

mount in Verbindung mit --bind ... kenne weder ich noch man mount

Nun ja... ein paar ??? mehr im Kopf
 
Lord_Icon said:
Code: 
[Thu Sep 02 16:41:08 2010] [error] [client 94.222.23.117] PHP Warning:  opendir(): open_basedir restriction in effect. File(/var/ossec) is not within the allowed path(s): (/srv/www/htdocs/ks011/:/tmp:/usr/bin:/usr/share/php) in /srv/www/htdocs/ks011/html/pages/ossec/lib/os_lib_handle.php on line 94
Click to expand...
Erweitere die open_basedir Pfade doch einfach um das Verzeichnis, auf welches das Webinterface von OSSEC zugreifen muss.

Alternativ klappt – aber etwas hässlicher – klappt das auch wie von andreasweber beschrieben.

Lord_Icon said:
mount in Verbindung mit --bind ... kenne weder ich noch man mount
Click to expand...
Deine Manpages sind offenbar ziemlich im Eimer oder du liest nicht richtig.
 
Roger Wilco said:
Erweitere die open_basedir Pfade doch einfach um das Verzeichnis, auf welches das Webinterface von OSSEC zugreifen muss.
Click to expand...

Richtig! Erweitere in deiner vhost_ssl.conf oder vhost.conf einfach die php_admin_value open_basedir Direktive auf das Verzeichnis von OSSEC WUI. Falls diese vorhanden, Pfade getrennt durch Doppelpunkte. (z.B.: php_admin_value open_basedir "/var/www/vhosts/domain.de/httpsdocs:/var/ossec/")
Gegebenenfalls noch ein Alias und es rennt.

Gruß,
sTaN
 
You must log in or register to reply here.
Back
Top