PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sshd Logging in andere Datei


snowmax
30.11.06, 11:05
Hi ihr,

Problem:

Der Kunde will die Logfiles von einem Server.
Auch das /var/log/messages.
Mich stört aber damit in dem Logfile sehr sehr viele SSH Einträge drinnenstehen (Brute Force Angriffe).

Ich würde das Logfile vom sshd gern auf /var/log/sshd.log umleiten.

Jedoch finde ich trotz Suche und Manpages lesen kein Möglichkeit dies zu tun. (Will keinen Umweg wie Grep Cronjob in neue Datei mit alles was SSH enthält und umgekehrt grep -v ssh für die Ursprüngliche Datei sondern eine saubere Lösung)

Hoffe mir kann wer helfen.
Danke

Grüße
heatwalker
30.11.06, 11:31
Soweit ich weiss bietet ssh hier keine Möglichkeit.

Das einzige was mir einfällt wäre die syslog.conf anzupassen.
So, das "auth" in eine extra Datei geleitet wird.
bla!zilla
30.11.06, 11:32
Der SSHd loggt auf die Facility "auth". Die einfach in eine eigene Datei pumpen.
snowmax
30.11.06, 12:39
Dankeschön...

Ich kann in der Config Datei vom sshd schon angeben in welche Facility"er loggen soll. D.h. man kann auch AUTH ändern.

Nehmen wir an ich änder die auf SSH-LOG.

Wo kann ich dann einstellen das die Facility SSH-LOG in die oder diese Datei geht. Außerdem muss man ja die Facility -> SSH-Log irgendwo eintragen das diese dem System bekannt ist?

syslogd config?
bla!zilla
30.11.06, 13:41
Die Facility gibt es nicht. Dann musst du als Facility eine der lokalen, also LOCAL1, LOCAL2 usw. nehmen. Die kannst du im Syslog wieder angeben und in eine eigene Datei loggen.
Klaus1
01.03.07, 10:15
Kann mir jemand sagen, wie ich die Ausgabe des Syslogd auf einen Webserver mit bspw. PHP Script leiten kann? würde als übergabeparamter des PHP Scripts dann das Logging per PHP sichern und darstellen am Webserver.

Ist das überhaupt möglich?
wenn nicht, wie kann ich die max. size des files einstellen? löscht sich das von selbst, wenn es voll ist? was bedeutet rotate?

toll wäre auch ein mail wenn das syslog file eine bestimmte größe hätte. "MAIL" klappt auf meinem openWRT leider nicht, gibts hier alternativen wie shell scripts die vielleicht smtp selber aufbauen?

Danke,
Klaus
marce
01.03.07, 10:20
all jenes sollte sich in der man-Page zum syslogd und logrotate finden lassen...
Klaus1
01.03.07, 10:29
sorry, hab keine man pages auf der spärlichen openWRT drauf
tazdevil77
01.03.07, 10:48
sorry, hab keine man pages auf der spärlichen openWRT drauf

http://www.google.de/search?q=man+syslogd :ugly: