我有一个使用在Linux下运行的系统日志的客户。 我们的组织中没有任何Linux基础架构或技能,所以我find了一个名为WinSysLog的Windows产品。 我想知道,是Syslog的一个标准,所以所有基于syslog的产品都运行在相同的规则上,还是每个Syslog应用程序都不一样?
任何自动化的syslog解决scheme查找框架? 我希望我的中央系统日志服务器通过电子邮件发送问题列表, 其严重性和build议的解决scheme 。 关于集中系统日志和备用日志分析系统有几个问题,但我不觉得它们中的任何一个都有助于解决问题。 一点背景: 在工作中,我现在正在从事两个人的工作,两个工作都超出了他们最初的框架。 这不像我有助手那样糟糕,但他们只不过是聪明的猴子。 虽然我的前任之一(我有两个人,那就是我如何知道我有两个人的工作)build立logging,通过电子邮件发送结果,我的猴子没有必要的技能来识别不重要的数据。 这使得他们和我自己可悲地设置了电子邮件filter,并忽略了整个事情,直到发生“爆炸”。 让其他人告诉他们什么是重要的,什么是连接的,并提出一些解决问题的方法(我可以先训练然后研究解决scheme, 哈! ),这将是很方便的。 我对Splunk和Octopussy网站的阅读表明,我仍然需要把自己训练有素的猴子带到聚会。 我有几年没有了。
在我的/var/log/syslog ,我看到(过滤不相关的部分): Dec 30 15:00:10 myhost systemd[1]: Started CUPS Scheduler. Dec 30 15:13:11 myhost systemd[1]: Started CUPS Scheduler. Dec 30 15:26:11 myhost systemd[1]: Started CUPS Scheduler. Dec 30 15:39:12 myhost systemd[1]: Started CUPS Scheduler. Dec 30 15:52:13 myhost systemd[1]: Started CUPS Scheduler. Dec 30 16:05:13 myhost systemd[1]: Started CUPS Scheduler. Dec 30 16:18:14 myhost systemd[1]: […]
我只是想知道筛选我的sshd日志的最佳方法。 问题是我使用Nagios和Cacti通过SSH监视我的盒子。 他们都每5分钟连接一次,这堵塞了我的日志文件负载的条目很难做一个快速的“尾巴”,看看发生了什么事情。 我想从监视用户(在特定的IP)login在一个单独的文件中的所有login。 理想情况下,我会避免安装syslog-ng或类似的。 我必须在各种Ubuntu,CentOS和FreeBSD机器(运行各种OpenSSH版本)上进行设置,所以如果没有其他软件就可以做到这一点。 有关如何实现这一目标的任何build议? 谢谢!
我正在运行ami-ccf405a5,这是一个从AWS控制台的东西微型实例中的alestic.com的Ubuntu 10.10 Maverick EBS启动。 我使用用户数据字段来加载脚本,其中的开始部分在下面,更新和安装软件包,创build新用户并设置其环境。 #!/bin/bash set -e -x export DEBIAN_FRONTEND=noninteractive function die(){ echo -e "$@" >> /dev/console exit 1} aptitude -yq update && aptitude -yq safe-upgrade aptitude -yq install irb libopenssl-ruby libreadline-ruby rdoc ri ruby rake ruby-dev rubygems 我发现AWS控制台上的“ec2-get-console-output INSTANCEID”和“获取系统日志”只会输出846行或68k的日志,并在最后一个aptitude语句的中间切断。 有没有办法获得更多的系统日志来跟踪我的用户数据脚本的进度?
以下情况:我有一个Ubuntu 14.04LTS作为Docker 1.4主机的硬件盒我正在几个容器中运行一个ELK堆栈。 当然,logstash容器只公开514端口来收集系统日志input。 在某些情况下,重启容器后,系统日志stream量不再被转发到容器。 'iptables -nvL'表示在容器启动期间没有匹配应用于转发链的规则的stream量。 INPUT链的stream量计数器比FORWARD链要高得多。 我注意到在所有向全世界公开UDP端口的容器上的这种行为,具有基于TCP服务的容器按预期工作。 重新启动容器和docker服务没有成功。 我主要收集防火墙的stream量日志,所以系统日志的stream量是相当稳定的。 我每秒钟收集约1,5k个Syslog陷阱。 我的解决方法是停止所有到主机的stream量大约10秒(目前通过阻塞上游路由器的stream量) 在单个防火墙节点上停止syslog导出几秒钟后,来自此特定防火墙的stream量将按预期方式转发到容器。 但只能从这个单一的。 我认为这是iptables的一个问题。 看来,iptables正在caching转发infrmation几秒钟,并忽略任何新的应用规则,只要stream量存在。 我在这里没有做任何额外的iptablesconfiguration。 一切都由docker完成。 我没有ufw,conntrackd或任何安装。 任何build议如何解决这个问题? 最好的问候Andreas
我有一些非特权的“angular色账户”需要能够查看本地系统日志(例如/var/log/messages )的某些内容以进行debugging。 这是明确的本地日志数据,而不是远程syslog,logstash等。显然,有几种方法可以解决这个问题。 我想知道的是,如果有一个相当“标准化”的方式来解决这个问题。 通常情况下,我使用sudo解决了这个问题,但POSIX组或acls很有吸引力,因为用户input的字符很less,并且会从sudo日志中删除条目。 不过,我不相信我曾经见过。 你有什么经验? 大型安装基站如何解决这个问题?
我们有一个思科6500的基础,我想发送到两个单独的系统日志服务器的日志。 目前已经发送到一个系统日志服务器。 这到我们的安全团队。 但是我们也希望有人去我们的networking基础设施团队。 那可能吗? 如果是,你能帮忙吗?
有没有人维护被攻击者暴力破解的最常使用的帐号名称列表? 为了您的娱乐,从我的主要服务器的日志上个月(43 313失败的SSH尝试), root没有达到sshd : cas @ txtproof:〜$ grep -e sshd / var / log / auth * | awk'{print $ 8}'| sorting| uniq -c | sorting| 尾巴-n 13 32位pipe理员 32斯蒂芬 34行政 34销售 34用户 35亚光 35个postgres 38个mysql 42 oracle 44位客人 86testing 90pipe理员
我在syslog中添加了local0上的一些自定义日志logging。 将这些消息写入特定的日志很容易,在我的syslog.conf中 local0.* -/var/log/my.log 但是,我怎样才能从所有其他日志排除local0? 在我当前的设置中,local0消息也显示在/ var / log / syslog中,因为它被指定为 *.*;auth,authpriv.none -/var/log/syslog 我是否需要通过所有其他默认日志并添加local0.none,还是有某种全局排除我可以使用?