คำถามติดแท็ก logging

มีการตัดสินใจแล้วว่าเราควรย้ายไปใช้ฐานข้อมูล (MySQL) สำหรับบันทึกแอปพลิเคชันของเรา (เป็นแอปพลิเคชัน Java ที่ใช้ lib logback) ฉันหวังว่าจะพบสิ่งtail -fที่ฉันสามารถใช้กับตารางที่ระบุในฐานข้อมูลนั้นที่จะแสดงแถวใหม่ให้ฉันตามที่พวกเขาถูกเพิ่มเข้ามา (คล้ายกับวิธีการtail -fทำงานของไฟล์บันทึก)

12 mysql  logging 

ฉันมีแอปพลิเคชั่นที่เขียนไฟล์บันทึกในโฟลเดอร์พิเศษ ตอนนี้ฉันต้องการเพิ่มฟังก์ชันการทำงานเพื่อลบบันทึกเหล่านี้หลังจากช่วงเวลาที่กำหนดโดยอัตโนมัติ แต่ฉันควรเก็บล็อกไฟล์ไว้นานแค่ไหน? ค่าเริ่มต้น "ดี" คืออะไร (7 หรือ 180 วัน) หรือคุณต้องการเกณฑ์อื่น ๆ (เช่นพื้นที่ดิสก์ที่ใช้สูงสุด)

12 logging  files 

ฉันมีแอพพลิเคชั่นและสคริปต์หลายตัวที่ฉันต้องการเปลี่ยนเส้นทางไปยังไฟล์ที่กำหนดเอง ฉันเปิดแอปพลิเคชันเหล่านั้นโดยใช้ command | logger -t TAG ฉันต้องการกรองข้อความเหล่านี้ตามแท็กและเปลี่ยนเส้นทางไปยังไฟล์ต่างๆ ฉันไม่ต้องการใช้การเปลี่ยนเส้นทาง bash เนื่องจากแอปพลิเคชันเหล่านี้ส่วนใหญ่ใช้เวลาในการประมวลผลนานและต้องการการหมุนเวียนบันทึกที่เหมาะสม ฉันพยายามเพิ่มตัวกรองที่กำหนดเองใน /etc/rsyslog.d/60-myfilter.conf; if $syslogtag == 'giomanager' then /var/log/giomanager.log ผมทำอะไรผิดหรือเปล่า ? เป็นวิธีที่เหมาะสมในการกรองตามแท็กหรือมีตัวเลือกที่ดีกว่าเพื่อให้ได้ผลลัพธ์ที่คล้ายกัน?

12 bash  logging  syslog  rsyslog 

ฉันคิดว่าสิ่งเหล่านี้เป็นบอตบางประเภท แต่ต้องการทราบว่าพวกเขาพยายามทำอะไรกับเซิร์ฟเวอร์ของฉัน บันทึกคำถามมีอยู่ด้านล่างและที่อยู่ IP ถูกเปลี่ยนจากต้นฉบับ 12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] …

12 nginx  logging  hacking 

ฉันมี Fedora 16 กับ Nginx และ PHP-FPM ทุกอย่างทำงานได้ดีมาก บันทึกทั้งหมดที่มีประกาศ PHP, คำเตือนข้อผิดพลาดอื่น ๆ /var/log/php-fpm/www-error.logที่อยู่ใน มีวิธีกำหนดค่า PHP-FPM ให้เขียนข้อผิดพลาดในไฟล์บันทึกที่เหมาะสมซึ่งกำหนดค่าเป็นบันทึกข้อผิดพลาดสำหรับ Nginx หรือไม่ ดังนั้นฉันต้องการบันทึกข้อผิดพลาด PHP ต่อ virtualhostไม่ใช่ไฟล์เดียวทั่วโลก (เหมือนใน Apache Httpd และ PHP)

11 linux  nginx  logging  php-fpm 

ฉันกำลังพยายามใช้เป้าหมายการติดตามของ IPtables แต่ฉันไม่สามารถรับข้อมูลการติดตามได้ ฉันต้องการที่จะใช้สิ่งที่อธิบายไว้ที่นี่: ดีบักสำหรับ iptables คำ จากมนุษย์ iptables สำหรับการติดตาม: This target marks packes so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules. (The ipt_LOG or ip6t_LOG module is required for the logging.) The packets are logged with the string …

11 linux  debian  iptables  logging  log-files 

ฉันเพิ่งติดตั้งเซิร์ฟเวอร์ Graylog2 และฉันต้องการส่งบันทึกทั้งหมดจากเซิร์ฟเวอร์หลักของฉันไปยังเซิร์ฟเวอร์ Graylog ผมได้เปิดใช้งานการเข้าสู่ระบบสำหรับเซิร์ฟเวอร์หลักและกำลังส่งบันทึกไปยังเซิร์ฟเวอร์ graylog ของฉันโดยการเพิ่มการ*.* @logs.example.com:1337/etc/rsyslog.conf สิ่งที่ฉันต้องการคือให้ Graylog2 รวบรวมบันทึก Apache ของฉันบันทึกระบบ (สำหรับการเข้าสู่ระบบ SSH การเข้าสู่ระบบที่ถูกปฏิเสธ) และบันทึกอื่น ๆ ที่ฉันต้องการตรวจสอบ สำหรับบันทึก Apache ฉันต้องการบันทึก Rails ด้วย เว็บไซต์ของฉันอยู่ใน/srv/www/นั้นโครงสร้างและsitename.com/public_html sitename.com/logsฉันมีเว็บไซต์จำนวนมากบนเซิร์ฟเวอร์และฉันต้องการวิธีที่ง่ายในการดูข้อผิดพลาดทั้งหมดและสร้างกราฟที่ดีจากพวกเขาดังนั้นทำไมฉันต้องการใช้ Graylog2 ... แฟ้มบันทึกในบันทึกโฟลเดอร์เป็นและaccess.logerror.log บันทึกของ Rails จะอยู่ในsitename.com/public_html/logนั้น production.logนี้ประกอบด้วย

11 apache-2.2  ubuntu  logging  rsyslog  graylog 

ดังนั้นฉันได้อ่านโพสต์มากมายที่เกี่ยวข้องกับเรื่องนี้และเพิ่งสับสนมากขึ้นกว่า แต่ก่อน มีคำแนะนำสำหรับเครื่องมือต่าง ๆ รวมถึง ttyrec, snoopy, acct, rootsh, sudosh, ttyrpld, การตรวจสอบ unix และอีกมากมาย ในกรณีของฉันฉันต้องการบันทึกคำสั่งทั้งหมดที่ดำเนินการบนระบบ (เช่นประวัติที่เปิดใช้งานการประทับเวลา) แต่ฉันต้องการทราบว่าใครทำอะไรบ้าง อย่างไรก็ตามเราทุกคนเข้าสู่ระบบผ่าน ssh ไปยังบัญชีย่อยบางส่วนของบัญชีผู้ใช้เดียวกัน (ขึ้นอยู่กับสิ่งที่เราทำ) ฉันจะรับบันทึกคำสั่งรวมถึงข้อมูล "ใคร" จะให้ฉัน (เกี่ยวกับการเชื่อมต่อ) เพื่อให้ฉันสามารถติดตามการดำเนินการกับบุคคลที่ระบุว่าเป็น "ผู้ใช้" ทั่วไปได้อย่างไร

11 linux  ssh  bash  logging 

ฉันต้องการเพิ่มชื่อ vhost ใน ErrorLog ของฉันแล้วส่งไปยังโปรแกรมที่ฉันเขียน เป็นไปได้หรือไม่ที่จะเขียนรูปแบบบันทึกข้อผิดพลาดที่กำหนดเองตามที่มีในบันทึกการเข้าถึง

11 logging  httpd  apache-2.2  errors 

เมื่อเร็ว ๆ นี้ (แต่มันก็เป็นคำถามที่เกิดขึ้นอีก) เราเห็นหัวข้อที่น่าสนใจ 3 ข้อเกี่ยวกับการแฮ็กและความปลอดภัย: ฉันจะจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างไร . การค้นหาวิธีที่เซิร์ฟเวอร์แฮ็กถูกแฮ็ก คำถามการอนุญาตให้ใช้ไฟล์ อันสุดท้ายไม่เกี่ยวข้องโดยตรง แต่เน้นว่าการจัดการกับเว็บเซิร์ฟเวอร์ทำได้ง่ายเพียงใด เนื่องจากมีหลายสิ่งที่สามารถทำได้ก่อนที่จะมีสิ่งเลวร้ายเกิดขึ้นฉันต้องการให้คำแนะนำของคุณในแง่ของแนวปฏิบัติที่ดีเพื่อ จำกัด ผลกระทบด้านหลังของการโจมตีและวิธีการตอบสนองในกรณีที่น่าเศร้าจะเกิดขึ้น มันไม่ได้เป็นเพียงเรื่องของการรักษาความปลอดภัยเซิร์ฟเวอร์และรหัส แต่ยังรวมถึงการตรวจสอบบันทึกและตอบโต้มาตรการ คุณมีรายการแนวปฏิบัติที่ดีหรือคุณต้องการพึ่งพาซอฟต์แวร์หรือผู้เชี่ยวชาญที่วิเคราะห์เว็บเซิร์ฟเวอร์ของคุณอย่างต่อเนื่อง (หรืออะไรเลย)? ถ้าใช่คุณสามารถแบ่งปันรายการและความคิด / ความคิดเห็นของคุณได้หรือไม่? UPDATE ฉันได้รับข้อเสนอแนะที่ดีและน่าสนใจหลายประการ ฉันต้องการมีรายการง่าย ๆ เพื่อที่จะเป็นประโยชน์สำหรับผู้ดูแลระบบความปลอดภัยด้านไอที แต่ยังรวมถึงผู้เชี่ยวชาญด้านข้อเท็จจริงของเว็บด้วย แม้ว่าทุกคนจะให้คำตอบที่ดีและถูกต้องในขณะนี้ฉันชอบหนึ่งในโรเบิร์ตเพราะมันง่ายที่สุดชัดเจนและรัดกุมและเป็นหนึ่งในsysadmin1138เพราะมันสมบูรณ์และแม่นยำที่สุด แต่ไม่มีใครพิจารณามุมมองและการรับรู้ของผู้ใช้ฉันคิดว่ามันเป็นสิ่งแรกที่ต้องพิจารณา ผู้ใช้จะคิดอย่างไรเมื่อจะเข้าเยี่ยมชมไซต์ที่ถูกแฮ็กของฉันและอื่น ๆ อีกมากมายหากคุณเป็นเจ้าของข้อมูลที่สมเหตุสมผลเกี่ยวกับพวกเขา มันไม่ได้เป็นเพียงเรื่องของการเก็บข้อมูล แต่จะทำให้ผู้ใช้โกรธได้อย่างไร เกี่ยวกับข้อมูลสื่อผู้มีอำนาจและคู่แข่ง

11 security  logging  hacking 

ฉันคิดว่าฉันจำการสร้างมิร์เรอร์เมื่อหลายปีก่อนด้วย LVM และฉันจำสิ่งนี้ไม่ได้ "บันทึก" หรือบางทีฉันอาจสร้างกระจกด้วย mdadm และวาง LVM ไว้ด้านบน ต้องเป็นแบบนั้น บันทึก LVM คืออะไรหากเป็นเพียงมิรเรอร์ สิ่งที่เก็บไว้ที่นั่น? มันมีจุดประสงค์อะไร? ใช้ "--mirrorlog core" ไม่ดีหรือไม่ ข้อเสียคืออะไร ฉันไม่ต้องการมีพาร์ติชันอื่นสำหรับบันทึกถ้าฉันไม่ต้องการ มีคำแนะนำในการใช้เทคโนโลยีใดบ้าง? แม้ว่าฉันจะสร้างกระจกด้วย mdadm ฉันจะใช้ LVM ด้านบนของมัน ดังนั้นในกรณีนี้อาจจะดีกว่าถ้าสร้างการตั้งค่าทั้งหมดด้วย LVM ... นั่นจะเพิ่มประสิทธิภาพการทำงานให้มากขึ้นหรือน้อยลงหรือไม่? ดิสก์ใช้สำหรับการจัดเก็บ Xen domU "ดิสก์" ขออภัยที่ "คำถาม" ไม่ซับซ้อนเพื่อจุดที่ซับซ้อน แนวคิดและข้อเสนอแนะและลิงก์ยินดีต้อนรับมากที่สุด ขอบคุณ!

11 lvm  mdadm  logging  mirror 

เมื่อเวลาผ่านไปผมสังเกตเห็นบางอย่างในการบันทึก/var/logเช่นauth, kernและmessagesได้รับมาก ฉันทำlogrotateรายการสำหรับพวกเขา: $ cat /etc/logrotate.d/auth.log /var/log/kern.log { rotate 5 daily } $ cat /etc/logrotate.d/kern.log /var/log/kern.log { rotate 5 daily } $ cat /etc/logrotate.d/messages /var/log/messages { rotate 5 daily postrotate /bin/killall -HUP syslogd endscript } ฉันยังมีcompressตัวเลือกเปิดใช้งาน: $ grep compress /etc/logrotate.conf # uncomment this if you want your log files compressed …

11 linux  log-files  logging  syslog  logrotate 

ฉันใช้เซิร์ฟเวอร์ของตัวเองที่บ้านสำหรับเว็บไซต์ส่วนตัวที่ใช้งาน Ubuntu Server กับ Apache, Bind9 และ Django บันทึกอะไรที่คุณแนะนำให้ดีที่สุดคือการติดตามเป็นประจำ? (แทนที่จะอ่านบนพื้นฐานของสิ่งที่ผิดพลาด) ฉันคิดว่าจะตรวจจับความพยายามในการบุกรุก (ก่อนหน้านี้ฉันเคยพบข้อผิดพลาด SSH) และการรับส่งข้อมูลผิดปกติหรือข้อผิดพลาดบนไซต์ของฉัน

11 ubuntu  log-files  logging 

เมื่อคุณอ่าน man pages บน Mac OS X มีการอ้างอิงถึง / var / log / messages แต่ถ้าคุณค้นหาไฟล์มันจะไม่มีอยู่: $ ls -l /var/log/messages ls: /var/log/messages: No such file or directory

11 logging  mac-osx 

ที่นี่ที่ทำงานเรามีบัญชีเข้าสู่ระบบที่ใช้ร่วมกันที่ไม่ใช่รูทบน UNIX ที่ใช้ในการดูแลระบบแอปพลิเคชันเฉพาะ นโยบายนี้ไม่อนุญาตให้ลงชื่อเข้าใช้โดยตรงไปยังบัญชีที่แชร์ คุณต้องเข้าสู่ระบบด้วยตัวคุณเองและใช้คำสั่ง "su" เพื่อเปลี่ยนเป็นบัญชีที่ใช้ร่วมกัน นี่คือเพื่อการเข้าสู่ระบบ / ความปลอดภัย ฉันเริ่มใช้การรับรองความถูกต้องกุญแจสาธารณะ / ส่วนตัวของ SSH กับตัวแทนเพื่อให้ฉันใส่รหัสผ่านของฉันวันละครั้งและให้ตัวแทนการส่งต่อกำจัดรหัสผ่านแจ้งเตือนตลอดทั้งวัน มันดีจริงๆ อย่างไรก็ตามบางระบบถูกล็อคดังนั้นฉันต้องใช้คำสั่ง "su" เพื่อไปยังบัญชีที่ใช้ร่วมกัน หาเรื่อง! กลับไปที่การป้อนรหัสผ่านตลอดเวลา! มีข้อมูลที่ถูกบันทึกไว้เพียงพอกับการรับรองความถูกต้องของคีย์สาธารณะ / ส่วนตัวของ SSH หรือไม่ซึ่งฉันอาจมีโอกาสพอสมควรในการขอเปลี่ยนนโยบายเพื่ออนุญาตให้เข้าสู่ระบบจากระยะไกลไปยังบัญชีที่ใช้ร่วมกันได้ ฉันมีผู้ดูแลระบบดูใน / var / log / secure และเพิ่งบอกว่าได้รับอนุญาตให้ใช้รหัสสาธารณะสำหรับบัญชีผู้ใช้จากที่อยู่ IP เฉพาะ ไม่ได้บอกว่าใครเป็นกุญแจสาธารณะหรือใครเป็นกุญแจส่วนตัวของใครในการตรวจสอบสิทธิ์

11 security  ssh  unix  authentication  logging