我正在使用OSSEC来尝试和监视诸如Windows Event Log等服务器上的服务。 我想知道一个服务已经停止或开始,并相应地通过电子邮件发送。 我试过一个规则,事件ID 6006(事件日志服务已停止)的警报。 <rule id="100011" level="10"> <match>INFORMATION(6006)</match> <options>alert_by_email</options> <description>The Event log service was stopped.</description> </rule> 但是这并没有引发事件。 所以我试着在ossec-logtest中testing一个日志。 我不得不补充日志条目,因为我无法得到ossec-analysisd将从Windows's Event View处理的日志。 我试着在ossec-logtest中login,似乎是正确的。 input日志: 2014 Sep 18 10:10:54 WinEvtLog: System: INFORMATION(6006): Microsoft-Windows-Eventlog: username: WIN-4HSALJIGG2H: WIN-4HSALJIGG2H: The Event log service was stopped. Ossec-logtest输出: **Phase 1: Completed pre-decoding. full event: '2014 Sep 18 10:10:54 WinEvtLog: System: […]
使用log4cxx将日志从C ++服务器推送到kafka集群的最佳方式是什么? 有没有兼容的log4cxx appender或任何代理,我可以部署在中间?
我们试图跟踪客户端使用到我们的网站/networking服务的SSL协议,连接可以通过浏览器,或者,为Web服务各种肥皂库等我创build了一个自定义日志格式$ { SSL_PROTOCOL} e和$ {SSL_CIPHER} e在我们的testing服务器上(见下文) LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\" %m %H \" protocol:%{SSL_PROTOCOL}e:\" \"%{SSL_CIPHER}e\"" security 在apache2.conf中,并在可用站点上成功应用 CustomLog ${APACHE_LOG_DIR}/access.log security 它对一些stream量,但不是所有的预期工作,据我所见,只有PHP文件被张贴到或GOT填写正确的日志。 作为资源下载的文件不会显示协议或密码,只是显示一个-即使他们似乎使用SSL。 10.100.19.25:443 10.100.19.12 – – [16/Oct/2014:11:24:48 +0100] "GET /URL1/js/jsfile.js?_=1413454909537 HTTP/1.1" 200 5876 "https://testsite/URL1/URL2/File.php?token" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0" GET HTTP/1.1 "protocol:-:" "-" 是否有显示用于所有连接的ssl密码?
我在Debian 7.6上安装了lighttpd / 1.4.31(ssl),我想用标准的error.log来包含导致错误的主机的IP地址。 可能吗? accesslog.format指令允许自定义访问日志,但我找不到适合的错误日志选项。 我主要对这些SSL错误感兴趣 (connections.c.305) SSL: 1 error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (connections.c.305) SSL: 1 error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher (connections.c.305) SSSL: 1 error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol (connections.c.1715) SSL (error): 5 -1 104 Connection reset by peer (connections.c.1715) SSL (error): 5 -1 32 Broken pipe
我想在一个网关上使用新的NetBSD NPF防火墙,该网关也有法定义务来logging一年的stream量。 为了卸载网关,我尽pipe把日志的东西(和IDS,配额pipe理,..)在另一台机器(可能在Debian上)。 我虽然有两个解决scheme这样做: 将stream量重新复制到另一台机器 与FreeBSD和OpenBSD不同,我不确定NetBSD是否能够设置这个端口王,如果是的话,我不知道如何。 http://netbsd.gw.com/cgi-bin/man-cgi?bridge表示 网桥驱动程序目前不支持通过bpf(4)进行监听。 但在旧版本中是这样的 网桥驱动程序目前不支持通过bpf(4)或透明过滤进行窥探。 所以也许有一种方法,但我不知道从哪里开始,有什么帮助? 在NetBSD机器上运行tcpdump并持续同步日志文件和分析机器 但是,如何? 它必须是可靠的,适应networking日志文件(即不断写入)。
我有一个用户,每天被denyhosts阻止后,一些初始问题和混淆密钥,密码,帐户名称等,即使我不断封锁他。 当我到/var/lib/denyhosts (在/etc/denyhosts.conf指定WORKDIR )并检查了他的IP文件时,我发现他在hosts , hosts-root , hosts-valid , users-hosts和hosts-restricted 。 现在,如果我理解正确, hosts-restricted是那些被/var/lib/denyhosts/restricted-usernames列出的用户反复login而被阻止的登陆位置,但是我从来没有创build过这样的文件,如果该文件不存在,阅读文档将无法发现将被使用的默认列表。 如果没有login限制,我的用户如何设法让自己login受限login名单?
(我正在testingAsterisk 11.7.0〜dfsg-1ubuntu1) 根据文档 ,我正在使用以下格式附加到日志文件 : same => n,Set(FILE(/tmp/mylog.txt,,,a)=my-log-message) 但是这不会附加一个换行符。 所以我在尝试: same => n,Set(FILE(/tmp/mylog.txt,,,al)=my-log-message) 但是这不会附加(相反,它只是覆盖 – 令人惊讶的是,因为文档说这应该追加!)。 如何追加并确保在日志消息之后添加换行符?
我注意到elasticsearch超过30GB的磁盘空间过夜。 通过比较,我想索引的所有日志的总大小只有5 GB …呃,甚至没有那么多,可能更像是2.5-3GB。 有没有什么原因,有没有办法重新configuration它? 我正在运行ELK堆栈。
我有一个客户的网站有间歇性问题,我相信这是由于DNS查找。 发生这种情况,他们做一个ping,主机不能解决。 所以我跑了: dig @a.gtld-servers.net autoquarterly.com 我得到: ;; ADDITIONAL SECTION: ns1.hostlatch.com. 172800 IN A 109.73.173.210 ns2.hostlatch.com. 172800 IN A 109.73.173.211 但这些不是正确的IP地址。 如果我在两个名称服务器上执行nslookup,我会得到正确的IP地址。 我的问题是这些不正确的名称服务器IP地址来自哪里? 我印象深刻的是,这些logging是在域名注册商处注册的。 但是,我注意到我查找的每个域都有ADDITIONAL部分中的域名服务器IP地址,即使只有使用其域名的子域名作为其域名服务器的域名也需要粘贴logging。
如何一个grep /search一个文本文件,使结果显示与string的第一行,然后每隔一行,直到与string的最后一行? 所以,如果我有一个如下所示的文件: 一个 一个 乙 C C 乙 一个 一个 而我执行这个命令search“B”,它会产生: 乙 C C 乙