我正在寻找一个工具,将它的调查结果转储到外部数据库,如SQL。 它不一定是SQL,我们只是想以某种forms的数据库的数据,所以我们可以操纵它。
注意:我正在使用Apache2(在Linux上),但是我问了一般意义上的问题(仅适用于Linux),因为我也想知道在一般情况下完成此操作的“最佳”方式(因为我即将在Nginx或Cherokee上部署一个大型站点)。 短短几周后,我的日志文件就变得很大了。 我需要暂时保留它们,但是我想删除大于2周的条目。 这是可能的,我该怎么做?
有没有一种简单的方法来查找从IIS日志中调用特定页面的次数?
我们的一个networking项目被黑了。 Malefactor改变了项目中的一些模板文件和web-framework的一个核心文件(这是着名的php框架之一)。 我们通过git发现了所有损坏的文件并将它们还原。 所以现在我需要find弱点。 很有可能我们可以说,这不是ftp或ssh密码绑定。 主机提供商的支持专家(日志分析后)说,这是我们代码中的安全漏洞。 我的问题: 1)我应该使用什么工具来查看Apache的访问和错误日志? (我们的服务器发行版是Debian)。 2)你能在日志中写下可疑行检测的提示吗? 也许教程或一些有用的正则expression式或技术的引物? 3)如何将“正常用户行为”与日志中的可疑行为分开。 4)有什么办法来防止在Apache的攻击? 谢谢你的帮助。
几个小时前,我们在Ubuntu 12.04上遇到系统崩溃。 我们检查了所有的日志文件,没有任何可疑的责任。 最后logging的东西是一些dovecot活动。 没有内核恐慌消息。 没有。 这是一个新的服务器(新硬件),我们正在testing之前,生产。 而且由于这是新的难题,我怀疑这个问题可能是由于一些硬件故障造成的。 我们已经运行memtester没有检测到问题。 我会很高兴听到其他硬件testing工具(机器有SSD)。 无论如何,我想问你的是另一回事。 奇怪的是,在发生崩溃的每一个打开的文件中,我们发现下一个符号序列被写入它们:“@ ^ @ ^ @ ^ @ ^ @ ^ @ ^ @ …”。 例如,在syslog日志文件中,我们得到: Apr 16 15:53:56 odyssey dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<info>, method=PLAIN, rip=46.29.255.73, lip=5.9.58.177 ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ [these continues for about 1000 chars…] ^@^@^@^@Apr 16 15:55:12 odyssey kernel: imklog […]
我有一台机器运行基于Debian Squeeze的Linux内核3.2.12-rt的定制版本。 我正在将内核消息打印到控制台。 我不希望这样做。 我知道为什么这样做: # cat /proc/sys/kernel/printk 8 4 1 3 但是我不知道第一个价值是如何被设定为8,我想要什么是停止。 我已经看了内核configuration; 它有CONFIG_DEFAULT_MESSAGE_LOGLEVEL=4 ,没有内置的命令行。 我已经看了启动命令行; 它已经quiet 。 我试着改变它以quiet loglevel=4 ,但这并没有帮助。 /etc/sysctl.conf有kernel.printk = 3 4 1 3 (它没有被注释掉)。 我尝试了其他可能已经设置了printk的东西,但我找不到任何有用的东西。 (这可能意味着我没有看正确的地方或正确的东西。) $ grep console /etc/rsyslog.conf # I like to have messages displayed on the console, but only on a virtual # console I usually leave […]
我想为特定的用户/连接审核日志,而不是应用程序本身。 任何时候客户端手动连接到具有特定凭证的服务器,我想要查询日志,并启用二进制日志。 这是可能的,我将如何激活只有该用户/连接的日志,而忽略应用程序运行的语句? 谢谢, 沃尔特
我有一个Cisco 877路由器。 我有一个IPv4访问列表和一个IPv6访问列表设置和configuration类似于此: interface Dialer1 … ip access-group INTERET-IN ipv6 traffic-filter IPV6-IN Access列表与此类似: ip access-list extended INTERNET-IN remark establishd connections permit tcp any any established … deny ip any any log 和: ipv6 access-list IPV6-IN permit esp any any sequence 30 permit tcp any any established sequence 50 remark NTP … sequence 240 deny ipv6 […]
我使用auditctl并获取大量的日志事件的crond。 我不希望logging任何cron / crond事件。 node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron […]
我们的Web应用程序(30个左右)使用log4net将应用程序特定的东西logging到集中式日志logging数据库(Sql Server 2012)中,因此日志logging数据库变得非常快速。 因此,我们决定每年更换一次,比如重命名当前的日志数据库(例如AppLog到AppLog2015),然后为Web应用程序创build一个新的日志数据库(AppLog)。 我们需要保留replace的数据库以备将来查询。 做这些replace的最佳做法是什么? 在更换所有应用程序时简单地设置一些停机时间会更好吗? 还是有可能在没有停机的情况下更换数据库? 任何意见,将不胜感激。 即使完全不同的方法build议也是受欢迎的。