jak interpretowac logi?

widw · Post autor: **widw** » 03 grudnia 2014, 14:00

Witam wszystkich, jestem początkowym użytkownikiem serwera linuksowego, dlatego proszę o wyrozumiałość, wiem ze moje pytanie jest może śmieszne, ale od czegoś muszę zacząć aby się nauczyć, potrzebuje poznać zasadę, nauczyć się interpretacji logów syslog, nie wiem gdzie szukać materiałów na ten temat? jak interpretować poszczególne człony, poszczególne wartości, proszę o podpowiedz, może jakiś podręcznik prosty na początek?? oto fragment przykładowych moich logów z serwera które potrzebuje zrozumieć:

Kod: Zaznacz cały

Dec  1 19:56:40 debian kernel: LOGLAN-TCP  IN=eth1 OUT=eth0 SRC=192.168.1.46 DST=173.223.10.42 LEN=52 TOS=0x00  PREC=0x00 TTL=126 ID=4476 DF PROTO=TCP SPT=53058 DPT=443 WINDOW=8192  RES=0x00 SYN URGP=0 MARK=0x96 
Dec  1 19:56:40 debian kernel:  LOGLAN-TCP IN=eth1 OUT=eth0 SRC=192.168.1.46 DST=179.60.192.149 LEN=52  TOS=0x00 PREC=0x00 TTL=126 ID=4477 DF PROTO=TCP SPT=53059 DPT=443  WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x96 
Dec  1 19:56:40 debian  kernel: LOGLAN-TCP IN=eth1 OUT=eth0 SRC=192.168.1.46 DST=179.60.192.149  LEN=52 TOS=0x00 PREC=0x00 TTL=126 ID=4485 DF PROTO=TCP SPT=53060 DPT=443  WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x96

Pozdrawiam
i proszę o pomoc
Wiesław

piroaa · Post autor: **piroaa** » 03 grudnia 2014, 20:41

Dobre pytanie na początek.
Ogólnie masz tak :
data nazwa_serwera facility : treść_logu
gdzie facility to :
LOG_AUTH - komunikaty bezpieczeństwa/uwierzytelnienia (security/authorization messages) (Potępione (deprecated) zamiast tej stałej używaj LOG_AUTHPRIV)
LOG_AUTHPRIV - komunikaty bezpieczeństwa/uwierzytelnienia (security/authorization messages) (prywatne).
LOG_CRON - demon zegarowy (cron oraz at).
LOG_DAEMON - demon systemowy bez dedykowanej wartości 'facility'.
LOG_FTP - demon ftp.
LOG_KERN - komunikat kernela.
LOG_LOCAL0 do LOG_LOCAL7 - zarezerwowane do lokalnych zastosowań.
LOG_LPR - podsystem drukowania (line printer subsystem).
LOG_MAIL - podsystem pocztowy (mail subsystem).
LOG_NEWS - podsystem wiadomości USENET (USENET news subsystem).
LOG_SYSLOG - komunikaty generowane wewnętrznie przez syslogd.
LOG_USER (domyślny) - ogólne komunikaty poziomu użytkownika.
LOG_UUCP - podsystem UUCP.
Może jeszcze wystąpić level dostępne levele to :
LOG_EMERG - system jest niestabilny.
LOG_ALERT - wymagane jest natychmiastowe podjęcie działania.
LOG_CRIT - stan krytyczny.
LOG_ERR - stan błędny.
LOG_WARNING - stan ostrzegawy
LOG_NOTICE - stan normalny ale znaczący
LOG_INFO - komunikat informacyjny
LOG_DEBUG - komunikat poziomu diagnostycznego (debug-level).

To co najważniejsze jest w samej treści logu jak to jest opisane i co dokładnie oznacza zależy od programisty przykład z dnsa :

Dec 3 20:01:13 nsrv named[26229]: client 78.47.119.231#33264: query (cache) 'fOrnIEfATTORiE.It/MX/IN' denied
Dec 3 20:01:13 nsrv named[26229]: client 188.40.25.3#60382: query (cache) 'forniefattorie.it/MX/IN' denied

W tym przypadku chodzi o to że klient 78.47.119.231 nie może pytać o domenę fOrnIEfATTORiE.It
Co do twojego przykładu wygląda to jak byś użył opcji -j LOG w iptables
Pozdrawiam.

widw · Post autor: **widw** » 03 grudnia 2014, 22:33

dziękuję za informacje mam już ogólny obraz ale dla mnie jeszcze przy mojej wiedzy na ten temat to za mało

, widzę ze nieprawidłowo zadałem pytanie, te logi co wkleiłem to są logi z serwera który jest serwerem internetowym Linux debian, są to logi użytkowników na stronach internetowych i te logi mówią na jakie strony wchodził użytkownik w tym przypadku o adresie 192.168.1.46 i chciałbym wiedzieć jak z tych logów wyczytać na jakie strony wchodził czasem to wynika bezpośrednio z adresu ip ale czasem pewno coś wiecej bedzie potrzebne aby zobaczyć ta stronę, generalnie mam małą siec internetową kilku użytków i potrzebuje wiedzieć czasem gdzie wchodzą aby nie było z tego problemów, aby np coś nie ściągali i nie udostępniali, i chodzi mi jak z tych logów wyczytac gdzie wchodzili??
Pozdrawiam

Post autor: **marcin1982** » 03 grudnia 2014, 23:03

Proszę zadbać o przejrzystość wypowiedzi - ostatni post to narazie jeden wielki bełkot ...

piroaa · Post autor: **piroaa** » 04 grudnia 2014, 20:31

Zainteresuj się czymś takim jak ntop, chyba właśnie tego szukasz.

widw · Post autor: **widw** » 05 grudnia 2014, 14:30

bardzo dziękuje Ci Piroaa faktycznie o coś takiego mi chodzi muszę to tylko teraz poznać.