今天,我注意到我的日志文件中的这个条目: Connection attempts using mod_proxy: 175.180.113.83 -> 66.135.210.61:80: 1 Time(s) 这是我通常在日志中看不到的东西。 我有几个关于这个问题: 这实际上是什么意思? 这是否意味着有人试图通过代理连接访问我的服务器? 什么是第一个IP地址? 这是源IP吗? 什么是第二个IP地址? 这是他们用作代理的服务器吗? 如果我对2和3所说的是正确的,Logwatch(或者Linux中的任何解决方法)是如何检测到原始IP的? 我认为一个代理应该帮助匿名,并使原始IP地址完全被掩盖? 这是什么意思? 这些请求通常来自正在寻找额外安全漏洞的机器人吗? 通过代理访问我的服务器有哪些漏洞? 编辑:看起来66.135.210.61属于eBay,另一个IP属于台湾某人。 这是否意味着某人通过eBay访问了我的服务器? eBay的安全性应该不足以防止这样的事情? 谢谢
现在,我意识到,对于input到控制台的所有命令,Ubuntu系统将其logging在某处。 我如何禁用所有用户的Unix命令的日志logging?
我遇到了难以find的罕见503错误。 Varnishlog让我很生气,因为我似乎无法得到我想要的信息。 我希望看到Varnish看到的客户端和后端通信。 我以为在Varnish的默认错误页面上login的XID号码将允许我从日志缓冲区中过滤确切的请求。 但是,没有varnishlog参数的组合给了我需要的输出。 以下仅显示客户端通信: varnishlog -d -c -m ReqStart:1427305652 而这只显示了由此产生的后端通讯: varnishlog -d -b -m TxHeader:1427305652 是否有单行显示整个请求?
如果我没有有关日志的types(如syslog,apache日志,IIS日志)的先前信息,有没有一种方法来确定日志types(以便它可以正确parsing)? 我正在尝试为日志编写一个Grokfilter,但我不知道这些字段代表的是什么。 这些是来自日志的前几行: 14;1074585600;147.33.10.112;89ccfad2c4bbc02c91ed66055a235fca;/ls/index.php? &id=62&view=1,2,3,4,6,9&sort=,13,4&pozice=40;hXXX://YYY.shop4.cz/ls/index.php?&id=62&view=1,2,3,4,6,9&sort=,13,4&pozice=20 12;1074585600;57.66.66.138;17bff4c98f96413dbe748c9cd8822da9;/ct/?c=158;hXXX://YYY.shop3.cz 14;1074585600;194.196.100.86;e9455a109435408eb7b8e170d636d024;/klient/seznam.php;hXXX://YYY.shop4.cz/klient/zpravy.php 11;1074585600;66.77.73.176;88dc79e8eb5968d936a7d563af55bd08;/dt/?id=9354; 10;1074585601;158.196.177.79;cbf84093e4740423436abaf3c1a65ebc;/;
我正在运行这个命令来从服务器的auth.log获得一个失败的login尝试logging,它运作良好: sudo cat /var/log/auth.{log,log.1} | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort -k 1,1M -k 2n | uniq -c 但问题是 – 就像世界上的每一台服务器 – 我有一些由日志旋转创build的GZip压缩文件,不会被这个命令parsing: -rw-r—– 1 syslog adm 7822722 Oct 31 13:44 /var/log/auth.log -rw-r—– 1 syslog adm 12532511 Oct 25 06:59 /var/log/auth.log.1 -rw-r—– 1 syslog adm 2250939 Oct 18 06:55 […]
目前,我的组织正在使用Splunk来存储来自不同地方(DB,Apache,我们编写的系统等)的日志。 我们并没有真正使用它的大部分function(自动拉出日志等),但我们确实需要它提供的search – 显示事件及其周围环境。 最近Splunk的免费版本开始给我们带来很大的困难,所以我们希望用其他工具代替它,即使function较less,只要能够索引和search大量的日志。 你能否提供这样的select? 编辑:而给出的build议是伟大的,没有提供我需要的search和索引function。 你能提供别的吗?
我已经在这里通过论坛阅读,并想知道在监测“整个”网站的状态最好的做法是什么? (而不仅仅是主页)就优先级而言,如果您的主页closures,通常您的整个网站都closures了。 但在更细粒度的层面上,我想知道如何监控我们的网站的部分或页面是否没有响应。 我们没有像webmetrics或gomez这样的高端工具的预算。 我看过pingdom和bello,这两个工具似乎只是检查您的主页是否正常运行。 我们是一家窗口店,拥有一个300,000多个页面的网站。 我知道监视每个页面是不现实的。 只是运行一个脚本来检查网站上的主页是否已经启动,是否有意义? 例如,如果我们检查主服装页面是否打开,那么我们可以假设它的子页面(男装,女装)也在起作用。 任何build议将不胜感激。 谢谢!
我在syslog中添加了local0上的一些自定义日志logging。 将这些消息写入特定的日志很容易,在我的syslog.conf中 local0.* -/var/log/my.log 但是,我怎样才能从所有其他日志排除local0? 在我当前的设置中,local0消息也显示在/ var / log / syslog中,因为它被指定为 *.*;auth,authpriv.none -/var/log/syslog 我是否需要通过所有其他默认日志并添加local0.none,还是有某种全局排除我可以使用?
如何才能做到这一点? 我知道这非常简单,并且包括将&或&>等附加到启动init脚本的实际命令。 但是,什么是最好的方法,以及如何确保init脚本自行分离,假设日志文件是/var/log/customDaemon.log? 这是我的初始化脚本。 我也不确定脚本中的方法是否整齐或只是一个讨厌的黑客。 #!/bin/bash # # /etc/rc.d/init.d/customDaemon # # description: "The Daemon" # processname: customDaemon # pidfile: "/var/run/customDaemon.pid" # Source function library. . /etc/rc.d/init.d/functions start() { echo "Starting customDaemon" /var/customDaemon &> /dev/null & return 1 } stop() { echo "Stopping tweriod" prockill customDaemon return 2 } case "$1" in start) start ;; stop) […]
我在这里find了以下内容: 重要提示:在Linux上,你需要在path名之前加一个“ – ”字符,例如 – / var / log / maillog,否则syslogd进程将使用比Postfix更多的系统资源。 但文件没有给出任何理由。 那么,为什么这个“ – ”是需要的呢?