我想写一个服务,特别是从安全日志中提取事件查看器logging。 我特别感兴趣的是事件ID 4625(审计失败)消息。 理想情况下,我想存储导致审计失败的客户端的IP,超过n次,持续一段时间。 听起来很容易,所以我很快掀起了一个.NET服务来做到这一点。 但是,当我拉这些审计失败时,“源networking地址”值始终等于“ – ”。 我想知道Windows如何通过login,最终以失败告终,而不知道对方的IP地址。 另外值得注意的是IP地址确实被logging了几次,日志条目实际上包含许多其他有用的信息(如生成它的过程,失败原因,传输的服务等)。 有人可以告诉我为什么安全日志不知道尝试login和失败的人的IP地址?
我有2个用户在我的服务器上。 一个与sudo访问另一个没有。 我怎样才能访问nginx日志 /var/log/nginx/error.log 给另一个没有sudo权限的用户使用cat /var/log/nginx/error.log ? 我可以创build一个符号链接来login他的/ home / username目录吗? 所以我的问题是 – 没有sudo权限的用户如何检查nginx日志?
我们有IIS7服务器坐在一个nginx反向代理之后。 反向代理发送标准的“HTTP_X_FORWARDED_FOR”头与访客IP地址,但IIS7日志logging只loggingnginx服务器的IP地址(这是有道理的,但它不是我想要的)。 我怎样才能告诉IIS7,而不是logging“HTTP_X_FORWARDED_FOR”头(或另外logging)? (注:我是一个Linuxpipe理员,而不是一个窗口,所以明确的指示和链接真诚赞赏)
我已经configurationrsyslog(CentOS 6.3)添加-c 0 -r选项和行 local2.* /var/log/haproxy.log 并重新启动rsyslog但所有发生的是haproxy.log被创build。 它从来没有写入。 不太清楚如何解决这个问题。 下面是我的haproxy.cfg文件。 根据local2 ,没有其他configuration使用rsyslog.conf 。 我的haproxyconfiguration基本上是默认的,只是试图让日志工作第一。
我有一个用户需要使用sudo访问我的Ubuntu系统,但是我并不尽可能地相信他。 有没有办法logging他所有的sudo活动,并在一天结束时通过电子邮件发送给我?
我需要我的cronjob仍然继续输出一些文件中的错误,但我也希望他们同时通过电子邮件发送。 这似乎不可能没有一些技巧。 我发现这一点,但没有帮助我。 什么是最简单的方法来做到这一点?
我尝试了一切: service varnishlog start – logging一切 varnishlog -D -c -m TxStatus:503 > /var/log/varnish/varnish.log – 似乎没有做任何事情 varnishlog -c -m TxStatus:503 > /var/log/varnish/varnish.log – 只有logging,直到我closures我的SSH连接 我没有select,有什么帮助? 注意:varnishncsa不是一个选项,因为它不会告诉我哪个错误导致了503.我运行Varnish 3.x(最新版)和CentOS 5.8,Apache 2作为后端。
我开始拥有必须pipe理的Ubuntu虚拟机的集合。 我开始调查木偶pipe理他们所有的configuration,和apticron让我知道什么是过时的。 但是,我觉得我应该早日处理的问题是日志聚合。 我现在想留在自由/开放源代码领域,看到我们没有很多像splunk这样的预算。 除了系统日志以外,我还想收集特定于应用程序的日志(我们在不同的机器上运行不同的应用程序,从rails的nginx + passenger到java的Apache + Tomcat,expression式引擎的PHP以及mysql / postgresql数据库服务器) ,以便我们可以分析相关数据。 现在,我只是想把所有的日志都放在一个地方。
我有两个服务器是Ubuntu 12.04和Ubuntu 14.04。 当我在新服务器中使用Ubuntu 14.04并启用在/etc/php5/fpm/php-fpm.conf中find的php-fpm日志文件,其内容如下: error_log = /var/log/php5-fpm.log 我注意到,我在Ubuntu 12.04中find的大部分日志都不是在14.04中编写的。 例如,如果我重新启动我的Ubuntu 12.04中的php5-fpm,重新启动日志正在写入,但是,这不会发生在14.04。 我在14.04错过的另一个日志如下: [23-Aug-2014 16:23:03] NOTICE: [pool web42] child 118098 exited with code 0 after 12983.480191 seconds from start [23-Aug-2014 16:23:03] NOTICE: [pool web42] child 147653 started [23-Aug-2014 17:27:31] WARNING: [pool web8] child 76743, script '/var/www/mysite.com/web/wp-comments-post.php' (request: "POST /wp-comments-post.php") executing too slow (12.923022 sec), logging […]
所以…昨天我收到了一个“事后电子邮件”,关于一个已经开始为我运行的服务之一的活动。 现在,数据库服务器正在遭受重创,在复制的二进制日志logging中达到约300mb / min。 你可以想像,这是在以相当大的速度咀嚼空间。 二进制日志正常的7天到期是不是削减它。 我已经采取截断日志只是最后的4小时(我正在validation复制是最新的mk-heartbeat ): PURGE MASTER LOGS BEFORE DATE_SUB( NOW(), INTERVAL 4 HOUR); 我只是每隔几个小时就从cron那里运行这个软件来应对风暴,但是这让我质疑expire_logs_days的最小值。 我还没有遇到一个小于1的值,但这并不意味着这是不可能的。 http://dev.mysql.com/doc/refman/5.0/en/server-system-variables.html#sysvar_expire_logs_days给出的types是数字,但不表示是否期待整数。