11月29日15:17:15 hostname kernel [397768.554884] [UFW BLOCK] IN = eth0 OUT = MAC = [mac] SRC = [ip] DST = [ip] LEN = 52 TOS = 0x00 PREC = 0x00 TTL = 52 ID = 17050 PROTO = TCP SPT = 56152 DPT = 80 WINDOW = 65535 RES = 0x00 ACK FIN URGP = 0 […]
我有一个由我们的托pipe服务提供商pipe理的F5 Big-IP。 它专用于我们的私人VLAN,等等。 我们要求他们添加一个X-Forwarded-For HTTP-Header字段。 他们已经这样做了,现在我们可以在代码中访问它。 真棒:) 但是..对于我们的IIS日志,它仍然是F5机器的IP。 我想我被告知我们需要将一个ISAPIfilter(cringe!)应用到IIS服务器上。 有人可以证实这一点? 如果#1 ==是的,有没有一个文件/说明如何做到这一点我们的Windows Server 2008上的IIS7networking服务器。
我觉得这应该是一件简单的事情,但我很难找出答案。 我正在试图编写一个脚本来监视一个Apache日志文件,并采取一些具体的行动。 但是我应该如何去监视日志文件呢? 每当一个新的行被写入日志,我想要检查这个条目,看看它是否符合我正在寻找,如果是这样的x发生。 当我手动这样做时,我使用了cat或tail -f。 我不想每隔30秒通过cron运行脚本,并浏览整个日志(甚至是最后5行),找出自上次脚本运行后哪些行是新的,然后是如此的一些东西。 有没有办法只检查日志中的单个新条目?
我有一个应用程序必须logging每个事务。 每条日志消息都会被刷新,因为我们需要logging导致崩溃的事件。 我和我的同事很好奇如何在保证日志消息离开过程的同时实现缓冲的性能效果。 我们想到的是: 做一个应用程序可以写入的FIFO, 通过cat将该FIFO的内容redirect到一个常规文件。 也就是说,通常是这样的: app –logfile logfile.txt 就是现在: mkfifo logfifo cat logfifo &> logfile.txt & app –logfile logfifo 这种方法有什么困难吗? 它在我们testing的时候起作用,但是我们要确保即使原始应用程序崩溃,这些消息也会findredirect文件的path。 (我们没有应用程序的源代码,所以编程解决scheme是不可能的,而且应用程序也不会写入stdout ,所以直接连接到不同的命令是不可能的,所以syslog不是一个可能性。) 更新:我已经添加了一个赏金。 被接受的答案不会涉及logger ,简单的原因是logger 不是我所问的。 正如原来的问题所述,我只是在寻找使用FIFO的问题。
信任但要validation。 比方说,我想雇用一个系统pipe理员,让他们根访问我的Unix系统。 我想为它们禁用X窗口 ,只允许使用shell(也许通过SSH),以便它们执行的所有操作都将通过shell(不是鼠标操作)。 我需要一个工具来logging他们发出的所有命令的远程服务器 。 所以即使他们安装了一个后门并覆盖他们的轨道,也将被远程login。 我如何禁用所有的shell访问? 是否有一个工具,即时远程logging命令发出?
我最近注意到有时tail -f <logfile>会停止更新到屏幕上。 做一个Ctrl> – C并重新启动tail工作正常,虽然。 我检查了一下,确保日志文件没有在中间旋转(这可能会使tail失去理智)。 这会导致什么? 我正在运行RHEL 5.2 x64。
我在ubuntu 14.04上通过apt-get安装haproxy 1.5,通过ppa:vbernat/haproxy-1.5 http://haproxy.debian.net/ 问题是它logging到/var/log/syslog而不是/var/log/haproxy.log 设置基本上是默认的: /etc/haproxy/haproxy.cfg global log /dev/log local0 log /dev/log local1 notice chroot /var/lib/haproxy stats socket /run/haproxy/admin.sock mode 660 level admin stats timeout 30s user haproxy group haproxy daemon # Default SSL material locations ca-base /etc/ssl/certs crt-base /etc/ssl/private # Default ciphers to use on SSL-enabled listening sockets. # For more information, see […]
我遇到了很多使用情况,从一个(通常是换行符分隔的)stream中获取input,并以顶级的方式汇总它(参见top,iotop等)将会非常有用。 一种即时的数据透视表。 例如采取log-esqueinput: I heard A from unit 1 and it said "Great!" 56 I heard A from unit 2 and it said "Oh no!" 42 I heard C from unit 1 and it said "Waiting for input." 33 I heard B from unit 3 and it said "Stopped." -1 … 从这里,我们可以运行一个正则expression式和组指标的工具: topify [lineout] [regex] […]
今天早上在我的服务器上,我注意到一个应用程序报告它运行缓慢。 我检查了networking和SQL日志,发现没有什么特别的。 我想知道今天凌晨二点左右发生了什么事。 林寻找具体的CPU和内存统计,但我不知道在哪里CentOS6存储日志。 我已经在/ var / log /中检查过了,但找不到任何; lo 谁能告诉我哪里可以罚款?
背景 :远程日志聚合被认为是一种提高安全性的方法。 通常,这可以解决危害系统的攻击者可以编辑或删除日志以阻止取证分析的风险。 我一直在研究常见的日志工具中的安全选项。 但有些事情感觉不对 我看不到如何configuration任何常用的远程logging器(例如rsyslog,syslog-ng,logstash)来validation传入的消息是否真正来自声称的主机。 如果没有某种政策约束,一个日志发起者可以代表另一个日志发起者伪造消息。 rsyslog的作者似乎警告有关validation日志数据 : 最后要注意的是:transport-tls保护发送者和接收者之间的连接。 它不一定能保护消息本身的攻击。 特别是在中继环境中,该消息可能来自恶意系统,该恶意系统将无效的主机名和/或其他内容放入其中。 如果没有提供这些logging,这些logging可能会显示在接收者的存储库中。 -transport-tls不能防止这种情况发生(但它可能有帮助,正确使用)。 请记住,syslog-transport-tls提供了逐跳安全性。 它不提供端到端的安全性,也不authentication消息本身(只是最后一个发送者)。 所以后续的问题是:什么是一个好的/实用的configuration(在你select的任何常见的日志工具 – rsyslog,syslog-ng,logstash等),它提供了一定的真实性? 或者…如果没有人authentication日志数据,那为什么不呢? – (另外:在讨论/比较时,可能会使用RFC 5424中的一些图或术语:第4.1节:示例部署scheme – 例如“发起者”vs“中继”与“收集器”)