Bonjour
Dans le cadre d'un essais de maquette de serveur complet je me suis penché sur le problème des logs.
Linux en produit beaucoup (voir énormément si comme moi on est parano et que presque toutes les transactions réseaux sont logués).
Je me suis renseigné autour de moi et à par "je les imprime et je me torche avec" j'ai rien eu de concluant. ( ce que font d'ailleurs la majorité des windowsiens avec leur log vu la facilité d'utilisations des logs sous win).
J'ai d'abord trouvé log-analysis sous debian mais qui n'a rien donné d'intéressant pour l'instant.
Puis jai finalement trouvé lire sur http://www.logreport.org/(...) .
C'est très puissant et sa supporte plein de log de différents services (apache, bind, etc...).
Lire produit des rapports complet selon le log fournit (exemple moyenne des transfert ftp pour xferlog).
Mais il me manque certaines fonctionnalités.
J'ai rien trouver sur la gestion des user, qui se connecte le plus souvent? quand? etc..
Je sais qu'on peux le faire sous lire ( à grand coup de xml) mais j'ai la flemme.
J'aimerais savoir ce que vous faites avec vos logs.
Qu'utilisez vous pour les traiter ?
# grep
Posté par Colin Leroy (site web personnel) . Évalué à 5.
Mais je suis pas très parano, et j'ai un serveur stable, donc je les lis seulement quand il se passe un truc étrange - ce qui est rare.
Sinon, j'utilise mrtg, ça donne une bonne indication de "trucs étranges (charge cpu ou réseau soudaine, etc). C'est par mrtg que j'ai découvert l'arrivée du dernier virus windows, par exemple...
[^] # Re: grep
Posté par Pinaraf . Évalué à 0.
# Méthode du dino.
Posté par Jerome Herman . Évalué à 7.
Qu'utilisez vous pour les traiter ?
Personellement je créé des regexp avec grep et je retiens les lignes qui ne matchent pas. Comme je susi aussi un brin parano j'ai tendance a loguer énnormément et mes batchs de grep me permettent de faire le tri très vite. Ensuite si jamais il y a des logs qui ont une forme que je ne connais pas je regarde attentivement.
j'ai don cun batch grep par type de log. Autre avantage le batch grep est realtime et génère des copies des parties interressantes des fichiers de logs, ce qui rend l'éffaçage des traces plus difficile. Je fais un tee des sorties de log et j'envoi la moitié dans un fichier et l'autre dans un grep qui attend.
Mais bon il faut écrire les batchs greps adéquats, c'est un peu lourd, mais uen fois que c'est fait c'est assez top, en plus la possibilité de manquer une ligne bizarre parmis 6000 lignes normales est très faible.
Kha
[^] # Re: Méthode du dino.
Posté par Didier (site web personnel) . Évalué à 2.
[^] # Re: Méthode du dino.
Posté par Jerome Herman . Évalué à 2.
Pas la maintenant tout de suite je suis au boulot et j'ai peur de dire des bétises. En plus ma config est assez particulière (OpenBSD avec le egrep BSD, tout en chrooté et des syslogueurs différents suivant les étages de chroot jail)
Mais grosso-modo c'est pas très dificile. Il suffit de prendre le logs et d'écrire les regexps au fur et a mesure en repassant par le grep a chaque fois. déjà au bout de trois regexps il reste plus grand chose du log souvent.
Je veux bien te donner des exemples, mais ils vont sur ma config, notamment les logs apaches et sendmail sont pas tristes, avec les rotations de logs, les chrootjails, les virtuals hosts et autres translations d'adresse et de domaine je risque plus de t'embrouiller qu'autre chose.
Mais bon si tu insistes je peux te fournir des exemples ce soir ou demain.
Kha
[^] # Re: Méthode du dino.
Posté par Didier (site web personnel) . Évalué à 2.
Ce qui m'intrigue plus dans ton précédent commentaire, c'est :
Comment fais-tu pour que ce soit « realtime » ?
[^] # Re: Méthode du dino.
Posté par Jerome Herman . Évalué à 5.
tail -f (mon_fichier_de_logs) > grep -e la regexps qui va bien > mon_fichiers_de_logs_interressants
Le -f sur le tail fait qu'il ne s'arretera pas aux EOF mais continueras a attendre la suite du fichier. En plus il peut suivre les rotations de logs car il recconnait un nouveau fichier ou un fichier tronqué et réouvre le nouveau fichier (par contre ca peut générer des doublons.)
Variantes (encore meilleure a mon gout), rediriger les logs vers un flux de sortie et faire
monflux de sortie | tee mon_fichier_de_logs > grep -e la regexps qui va bien > mon_fichiers_de_logs_interressants
Avec ca pas de problèmes de doublons. Par contre il faut créer plusieurs flux de sortie pour faire de la rotation de logs.
Kha
[^] # Re: Méthode du dino.
Posté par Denis Montjoie (site web personnel) . Évalué à 1.
Effectivement cest interessant, car on peux détécter les évenement non communs (ceux importants) facilement.
De plus comme tu le disais on double le stockage de log sur 2 emplacement (fichier de log + sortie des grep) et en cas de compromission d'un serveur ca peux servir de sauvegarde de log je pense.
Bref merci pour ta reponce.
Par contre, tu n'utilise aucun outil statistique pour les annalyser?
[^] # Re: Méthode du dino.
Posté par Didier (site web personnel) . Évalué à 0.
Sinon, juste pour t'embêter encore un peu : comment rediriges-tu les logs vers un flux de sortie (si c'est possible sous GNU/Linux) ? Ça doit se passer dans la conf du démon qui se charge des logs, non ?
Merci pour tes réponses !
[^] # Re: Méthode du dino.
Posté par Denis Montjoie (site web personnel) . Évalué à 1.
Mais grep et tail ne marchera pas sur wtmp qui est en binaire et qui si jai bien compris log les login.
[^] # Re: Méthode du dino.
Posté par Ellendhel (site web personnel) . Évalué à 2.
Pour la consultation de wtmp, il faudrait lancer "last" et recupérer la sortie qui est en texte non ?
[^] # Re: Méthode du dino.
Posté par Denis Montjoie (site web personnel) . Évalué à 1.
Elle est vraiment nikel pour ce que je voulais faire sur les users.
Merci.
# analyse de log
Posté par djapat . Évalué à 3.
# et logcheck
Posté par Sylvestre Ledru (site web personnel) . Évalué à 2.
ca va verifier les logs et des qu'il y a quelque chose d'anormal, ca envoit un mail.
(en plus, il y a 3 niveaux de configuration)
[^] # Re: et logcheck
Posté par Sylvestre Ledru (site web personnel) . Évalué à 4.
[^] # Re: et logcheck
Posté par Denis Montjoie (site web personnel) . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.