我试图运行mod_security作为独立的服务与nginx作为反向代理一切正常,除了日志logging。 mod_securitylogging反向代理ip地址,而不是客户端ip地址。 如果有人能帮忙,我将不胜感激。 以下是mod_securitylogging127.0.0.1而不是客户端IP地址的logfile示例。 2012/08/29 14:18:13 [info] 206862#0:[client 127.0.0.1] ModSecurity:访问被代码403(阶段2)拒绝。 模式匹配…
所以我在Ubuntu 12.04盒子上使用这个指南安装了logwatch 。 我也设置postfix ,我最初的目的是添加一个每日cronjob给我发电子邮件这些报告(我有一个Debian Wheezy框相同的设置,它工作得很好)。 但不知何故,我不能得到logwatch实际输出任何东西。 没有电子邮件发送。 为了validationlogwatch输出本身,我跑了 $logwatch –output stdout –format text 但是没有输出任何东西给terminal。 如果我在Debian框上执行相同的命令,就会按照我的预期输出报告。 我怎样才能debugging为什么logwatch没有运行? 在日志中似乎也没有捕获任何东西。
我很难过 我有两个由AWS CloudWatch代理监视的日志文件。 第一个,/ /var/log/nginx/access.log ,工作得很好。 第二个是/var/log/otherserver/access.log ,没有任何变化。 并不是最终, 除非我重新启动代理程序,否则它会根据预期提取更改并将其发送到CloudWatch。 /var/log/otherserver/access.log是一个从另一台服务器上定期从rsync中读取的日志文件,它不能安装代理。 命令如下所示: rsync -av user@host:/var/log/access.log /var/log/otherserver/access.log 代理程序一定可以读取它,因为它在重新启动后读取更改。 条目在configuration文件中的位置似乎不重要。 rsync日志文件的日志条目中的date与服务器相同(一切都是UTC)。 如果我移动日志文件,代理开始抱怨: 2015-12-14 16:02:26,158 – cwlogs.push.stream – WARNING – 3344 – Thread-1 – No file is found with given path '/var/log/otherserver/access.log'. 这第二个日志文件的configuration与第一个(下面)几乎相同。 [website.access.log] #datetime_format = 09/Dec/2015:14:15:02 +0000 datetime_format = %d/%b/%Y:%H:%M:%S %z file = /var/log/otherserver/access.log log_stream_name = master-platform.sh […]
我正在努力为ELK创build一个简单的Hello世界,并能够通过互联网看到kibana报告。 我已经安装了kibana,logstash,nginx和弹性search。 这是我的/etc/logstash/conf.d/10-syslog.conf : input { file { path => [ "/var/log/*.log", "/var/log/messages", "/var/log/syslog" ] type => "syslog" } } output { elasticsearch { host => localhost } stdout { codec => rubydebug } } filter { if [type] == "syslog" { grok { match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" } add_field […]
当通过SSH连接到我的Ubuntu 16.04服务器时,我的控制台被这样的消息污染: root@backup ~ # 2017 May 2 15:05:05 backup fatal: Unable to negotiate with XXX port 45700: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1 [preauth] 2017 May 2 15:05:07 backup fatal: Unable to negotiate with XXX port 45991: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1 [preauth] 2017 May 2 15:05:07 […]
问题: 一个未知的私人(NAT)客户端感染了恶意软件,它试图随机访问一个Bot服务器。 我们如何知道这一点: 我们收到来自REN-ISAC的 botstream量通知/警报。 不幸的是,我们直到发生后的第二天才收到。 他们提供给我们的是: 源地址(防火墙的) 目标地址(它有所不同,但他们将分配给德国ISP的networking子网) 源端口(其变化 – dynamic端口)。 题: 用思科ASA作为防火墙查找内部主机(历史上)的最佳方法是什么? 我猜测阻塞任何目标地址,并logging这种types的stream量/访问可能让我find源主机,但我不知道哪个工具/命令将是最有用的。 我已经看到Netflow在日志logging中引起了一些反应,但是我把它与Logging,NAL和nBAR的关联以及它们与Netflow的关系混淆了。
我需要在Windows Server 2008 R2上logging针对文件和目录的拒绝访问事件。 我怎样才能让他们进入Windows事件日志?
我在/var/log/auth.log中有这样的条目: Apr 3 12:32:23 machine_name su[1521]: Successful su for user1 by root Apr 3 12:32:23 machine_name su[1654]: Successful su for user2 by root Apr 3 12:32:24 machine_name su[1772]: Successful su for user3 by root 情况: 所有用户都是/ etc / passwd中的真实账户; 没有一个用户拥有自己的crontab; 所有这些用户都是通过SSH或者没有机器在一段时间之前login到机器的 – 时间从几分钟到几小时不等, 当时没有cron工作计划运行,anacron被删除; 我可以看到其他日子和其他时间的类似条目。 常见的部分是用户login时出现。 它不会在login过程中出现,但会在一段时间后出现。 这台机器有类似的设置与其他几个,但它是唯一一个我看到这些条目。 是什么导致他们? 谢谢 编辑:我设法缩小了。 我相信这是由cron @reboot引起的。 有趣的部分是 – […]
如何在nginx中logging响应正文 (不是请求正文)? 我无法在任何模块(只有请求主体 )中find这样的variables。 我们使用nginx作为反向代理/负载均衡器,并想从nginx日志parsing我们的API请求和响应。 谢谢!
我设置了三台运行Ubuntu的虚拟机 – 一台服务器,一台客户机和一台网关。 我负责在网关上设置Snort来监视从客户端到服务器的“攻击”。 Snort应该将日志文件发送到我在服务器上设置的rsyslog服务器。 我无法获得这些日志发送。 在snort.conf文件中,我设置了: output alert_syslog: LOG_AUTH LOG_ALERT 我刷了我的iptables,并打开所有的testing目的(nmap显示514确实是打开的)。 我编辑了网关上的rsyslog.conf文件,并添加了: *.* @192.168.50.5 在服务器上的rsyslog.conf文件中,我添加了: *.* /var/log/snort.log 并在以下两个方面取消注释: $ModLoad imudp.so $UDPServerRun 514 当我运行(eth2 =客户端)时: snort -A console -i eth2 -c /etc/snort/snort.conf 并从客户端ping服务器(我有一个Snort规则捕获ICMP),日志文件被创build在/var/log/snort/snort.log.xxxxxxxxxx网关。 虽然没有显示在服务器上。 在Wireshark上观察数据包时,我启动Snort时收到两条Syslog消息,而当我退出时(^ C),还收到两条Syslog消息。 AUTHPRIV.INFO只是说“为root用户打开会话”和“为root用户closures会话”: 为了logging,我试图按照这个教程在这里: http://books.google.com/books?id=TPXusCxyKXAC&pg=PA115&lpg=PA115&dq=log+local0+snort.conf&source=bl&ots=PeMZAPE7DF&sig=Q4R5rkbvDZjfwoCOGL7Gy-1gHho&hl=en&sa=X&ei=gYw_VL3iBcHjoAS0j4KQBw&ved=0CFUQ6AEwCQ#v=onepage&q&f=false 任何人有任何想法是怎么回事? 感谢您的任何build议。