désactiver la « compression » de syslog

Le
mpg
Bonjour,

Quand il y a plusieurs lignes identiques sauf la date dans un log système,
ceci apparaît sous la forme suivante dans les logs :

Jan 16 15:42:00 siegel last message repeated 2 times

Ça a tendance à jeter un peu le trouble au niveau d'outils analysant les
logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette
fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce
sujet

Merci d'avance !

Manuel.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Franck JONCOURT
Le #9644881
On Wed, 16 Jan 2008 16:00:01 +0100, mpg
Bonjour,



Bonsoir,

Quand il y a plusieurs lignes identiques sauf la date dans un log
système,
ceci apparaît sous la forme suivante dans les logs :

Jan 16 15:42:00 siegel last message repeated 2 times

Ça a tendance à jeter un peu le trouble au niveau d'outils analysant


les
logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette
fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce
sujet...



Avec sysklogd sur notre bien aimé Debian, il semble que cela
ne soit pas faisable. En regardant le code source, je ne vois rien
non plus qui permettent de gérer cela, mais si quelqu'un peut
confirmer.

Il y a un rapport de bug à ce sujet à propos de fail2ban et la
compression des logs, avec un patch fournit.

Par contre, au niveau du changelog il ne semble pas qu'il ait
été appliqué.

http://bugs.debian.org/cgi-bin/bugreport.cgi?bugD0037

Je suis tombé sur cette man page :p!

http://leaf.dragonflybsd.org/cgi/web-man?command=syslogd&section=8

Il parlait d'une option "-c" pour désactiver la compression mais
il semble qu'elle n'existe pas ou plus. :(!

---
Franck Joncourt
http://www.debian.org/ - http://smhteam.info/wiki/



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #9644791
On Wed, Jan 16, 2008 at 04:00:01PM +0100,
mpg a message of 25 lines which said:

Jan 16 15:42:00 siegel last message repeated 2 times


[...]
Y a-t-il moyen de désactiver cette
fonctionnalité ?



Pour des raisons de sécurité, je le déconseillerai
fortement. N'importe quel processus (voire n'importe quelle machine si
vous avez activé l'accès à distance) peut envoyer des messages à
syslog sans authentification. Sans cette fonction de « compression »,
vous seriez vulnérable à une attaque DoS triviale (remplir votre
disque dur avec des messages bidon).

Cf. RFC 3164, section 6.10 "Load Considerations"

Network administrators must take the time to estimate the appropriate
size of the syslog receivers. An attacker may perform a Denial of
Service attack by filling the disk of the collector with false
messages. Placing the records in a circular file may alleviate this
but that has the consequence of not ensuring that an administrator
will be able to review the records in the future. Along this line, a
receiver or collector must have a network interface capable of
receiving all messages sent to it.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pierre Chifflier
Le #9644721
On Thu, Jan 17, 2008 at 09:13:40AM +0100, Stephane Bortzmeyer wrote:
On Wed, Jan 16, 2008 at 04:00:01PM +0100,
mpg a message of 25 lines which said:

> Jan 16 15:42:00 siegel last message repeated 2 times
[...]
> Y a-t-il moyen de désactiver cette
> fonctionnalité ?

Pour des raisons de sécurité, je le déconseillerai
fortement. N'importe quel processus (voire n'importe quelle machine si
vous avez activé l'accès à distance) peut envoyer des messages à
syslog sans authentification. Sans cette fonction de « compression  »,
vous seriez vulnérable à une attaque DoS triviale (remplir votre
disque dur avec des messages bidon).




Cette protection est illusoire .... il est facile de faire la meme chose
avec une commande du type
logger "message avec un id different $RANDOM"

...

Pierre
mouss
Le #9644671
Pierre Chifflier wrote:
On Thu, Jan 17, 2008 at 09:13:40AM +0100, Stephane Bortzmeyer wrote:
On Wed, Jan 16, 2008 at 04:00:01PM +0100,
mpg a message of 25 lines which said:

Jan 16 15:42:00 siegel last message repeated 2 times


[...]
Y a-t-il moyen de désactiver cette
fonctionnalité ?


Pour des raisons de sécurité, je le déconseillerai
fortement. N'importe quel processus (voire n'importe quelle machine si
vous avez activé l'accès à distance) peut envoyer des messages à
syslog sans authentification. Sans cette fonction de « compression »,
vous seriez vulnérable à une attaque DoS triviale (remplir votre
disque dur avec des messages bidon).




Cette protection est illusoire .... il est facile de faire la meme chose
avec une commande du type
logger "message avec un id different $RANDOM"



voire faire un strings sur un gros fichier et en loguer un bout toutes
les secondes/minutes/...


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
JeremyJ
Le #9644661
mpg a écrit :
Bonjour,

Quand il y a plusieurs lignes identiques sauf la date dans un log systè me,
ceci apparaît sous la forme suivante dans les logs :

Jan 16 15:42:00 siegel last message repeated 2 times

Ça a tendance à jeter un peu le trouble au niveau d'outils analysan t les
logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette
fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce
sujet...

Merci d'avance !

Manuel.




Bonjour,


Je me suis posé la même question que toi il y a quelques semaines. Je me suis renseigné,
et j'ai vu qu'il fallait remplacer le syslog "de base" par syslog-ng.

Un simple "aptitude install syslog-ng" suffit.

Suite à ça, j'ai pu utiliser fail2ban sans problèmes ;-)


++
Stephane Bortzmeyer
Le #9644081
On Thu, Jan 17, 2008 at 11:25:31AM +0100,
Pierre Chifflier a message of 26 lines which said:

Cette protection est illusoire .... il est facile de faire la meme chose
avec une commande du type
logger "message avec un id different $RANDOM"



Vu. Merci pour la correction.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme