Je fais tourner ocsinventory+GLPI sur un petit serveur web (debian
lenny). Ceci fonctionne parfaitement.
Ce serveur web est notamment protégé par le firewall web ModSecurity.
Ceci fonctionne très bien.
Je fais me remonter certains log par mail à l'aide de logcheck.
Logcheck est bavard, l'intérêt est de filtrer pour ne garder que ce qui
importe vraiment.
Le problème est qu'ocsinventory m'envoie sans doute quelques trames
imparfaites qui me donnent à chaque fois un log du type :
[Wed Aug 18 06:25:04 2010] [error] [client 139.124.176.2] ModSecurity:
Warning. Match of "rx ^OPTIONS$" against "REQUEST_METHOD" required.
[file
"/etc/apache2/conf.d/modsecurity/modsecurity_crs_21_protocol_anomalies.conf"] [line "41"] [id "960015"] [msg "Request Missing an Accept Header"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/MISSING_HEADER"] [hostname "junon.vcharite.univ-mrs.fr"] [uri "/ocsinventory"] [unique_id "TGtgoIt8sDkAABC@B0UAAAAH"]
dans un /var/log/apache2/error.log
seules date, IP client et Id changent
J'aimerais supprimer ce genre de remontés qui constituent 90% des
remontées de logcheck.
3 pistes :
agir au niveau d'ocsinventory-agent sur chaque poste client pour que les
trames soient bien configurées/acceptées. Me semble difficile à mettre
en oeuvre.
Agir au niveau des règles de ModSecurity :
modsecurity_crs_15_user_rules.conf ?
ou celui de modsecurity/modsecurity_crs_21_protocol_anomalies.conf en
virant la règle qui agit ici ? mais je ne veux pas trop toucher mes
règles de base.
Agir au niveau de logcheck
/etc/logcheck/ignore.d.server/<local-rules> ou
/etc/logcheck/violations.ignore.d
??
J'ai essayé pas mal de choses sans succès.
Je cherche de nouvelles idées.
Bien cordialement,
--
-------------------------------
Jean-Paul LACHARME. GREQAM CNRS
UMR 6579
Centre de la Vieille Charité.
2 rue de la Charité.
13236 MARSEILLE CEDEX 2
Tel. 04.91.14.07.68
http://www.vcharite.univ-mrs.fr/GREQAM/
-------------------------------
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1282201457.29889.17.camel@p0064.vcharite.univ-mrs.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Julien Valroff
Bonjour,
Le jeudi 19 août 2010 à 09:04:17 (+0200), Jean-Paul Lacharme a écrit :
Date: Thu, 19 Aug 2010 09:04:17 +0200 From: Jean-Paul Lacharme To: Subject: ocsinventory + ModSecurity + logcheck
Le problème est qu'ocsinventory m'envoie sans doute quelques trames imparfaites qui me donnent à chaque fois un log du type :
[...]
J'aimerais supprimer ce genre de remontés qui constituent 90% des remontées de logcheck. 3 pistes :
agir au niveau d'ocsinventory-agent sur chaque poste client pour que les trames soient bien configurées/acceptées. Me semble difficile à mettre en oeuvre.
Ce serait la meilleure solution à mon avis. S'il s'agit réellement d'un problème, il faut au moins rapporter le bug.
Agir au niveau des règles de ModSecurity : modsecurity_crs_15_user_rules.conf ? ou celui de modsecurity/modsecurity_crs_21_protocol_anomalies.conf en virant la règle qui agit ici ? mais je ne veux pas trop toucher mes règles de base.
Non, car en cas de problème similaire en dehors d'oscinventory, tu n'auras plus la remontée d'information.
Agir au niveau de logcheck
C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant la correction d'oscinventory-agent.
/etc/logcheck/ignore.d.server/<local-rules> ou /etc/logcheck/violations.ignore.d ??
Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très généralement dans ignore.d.server/ Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes mes exceptions.
S'il ne s'agit pas d'un réel problème dans oscinventory-agent, tu peux également soumettre un patch pour logcheck-database en proposant ta regex.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bonjour,
Le jeudi 19 août 2010 à 09:04:17 (+0200), Jean-Paul Lacharme a écrit :
Date: Thu, 19 Aug 2010 09:04:17 +0200
From: Jean-Paul Lacharme <jean-paul.lacharme@univmed.fr>
To: debian-user-french@lists.debian.org
Subject: ocsinventory + ModSecurity + logcheck
Le problème est qu'ocsinventory m'envoie sans doute quelques trames
imparfaites qui me donnent à chaque fois un log du type :
[...]
J'aimerais supprimer ce genre de remontés qui constituent 90% des
remontées de logcheck.
3 pistes :
agir au niveau d'ocsinventory-agent sur chaque poste client pour que les
trames soient bien configurées/acceptées. Me semble difficile à mettre
en oeuvre.
Ce serait la meilleure solution à mon avis. S'il s'agit réellement d'un problème,
il faut au moins rapporter le bug.
Agir au niveau des règles de ModSecurity :
modsecurity_crs_15_user_rules.conf ?
ou celui de modsecurity/modsecurity_crs_21_protocol_anomalies.conf en
virant la règle qui agit ici ? mais je ne veux pas trop toucher mes
règles de base.
Non, car en cas de problème similaire en dehors d'oscinventory,
tu n'auras plus la remontée d'information.
Agir au niveau de logcheck
C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant
la correction d'oscinventory-agent.
/etc/logcheck/ignore.d.server/<local-rules> ou
/etc/logcheck/violations.ignore.d
??
Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très
généralement dans ignore.d.server/
Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes
mes exceptions.
S'il ne s'agit pas d'un réel problème dans oscinventory-agent, tu peux également
soumettre un patch pour logcheck-database en proposant ta regex.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100819071750.GC13346@kirya.net
Le jeudi 19 août 2010 à 09:04:17 (+0200), Jean-Paul Lacharme a écrit :
Date: Thu, 19 Aug 2010 09:04:17 +0200 From: Jean-Paul Lacharme To: Subject: ocsinventory + ModSecurity + logcheck
Le problème est qu'ocsinventory m'envoie sans doute quelques trames imparfaites qui me donnent à chaque fois un log du type :
[...]
J'aimerais supprimer ce genre de remontés qui constituent 90% des remontées de logcheck. 3 pistes :
agir au niveau d'ocsinventory-agent sur chaque poste client pour que les trames soient bien configurées/acceptées. Me semble difficile à mettre en oeuvre.
Ce serait la meilleure solution à mon avis. S'il s'agit réellement d'un problème, il faut au moins rapporter le bug.
Agir au niveau des règles de ModSecurity : modsecurity_crs_15_user_rules.conf ? ou celui de modsecurity/modsecurity_crs_21_protocol_anomalies.conf en virant la règle qui agit ici ? mais je ne veux pas trop toucher mes règles de base.
Non, car en cas de problème similaire en dehors d'oscinventory, tu n'auras plus la remontée d'information.
Agir au niveau de logcheck
C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant la correction d'oscinventory-agent.
/etc/logcheck/ignore.d.server/<local-rules> ou /etc/logcheck/violations.ignore.d ??
Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très généralement dans ignore.d.server/ Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes mes exceptions.
S'il ne s'agit pas d'un réel problème dans oscinventory-agent, tu peux également soumettre un patch pour logcheck-database en proposant ta regex.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Jean-Paul Lacharme
....
> Agir au niveau de logcheck
C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant la correction d'oscinventory-agent.
> /etc/logcheck/ignore.d.server/<local-rules> ou > /etc/logcheck/violations.ignore.d > ??
Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très généralement dans ignore.d.server/ Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes mes exceptions.
C'est la solution que j'ai essayé de mettre en oeuvre j'ai trouvé la bonne regexp qui definit le log a supprimer dans le rapport de logcheck
je l'ai testé par un egrep -f regexp /var/log/apache2/error.log ... il est OK j'ai mis ce regexp dans un /etc/logcheck/ignore.d.server/local-rules dont j'ai fait un lien ln -s /etc/logcheck/ignore.d.server/local-rules local-rules dans /etc/logcheck/violations.ignore.d vérifié les droits .. ... mais ça ne marche pas. je me retrouve toujours avec le même rapport..
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
....
> Agir au niveau de logcheck
C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant
la correction d'oscinventory-agent.
> /etc/logcheck/ignore.d.server/<local-rules> ou
> /etc/logcheck/violations.ignore.d
> ??
Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très
généralement dans ignore.d.server/
Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes
mes exceptions.
C'est la solution que j'ai essayé de mettre en oeuvre
j'ai trouvé la bonne regexp qui definit le log a supprimer dans le
rapport de logcheck
je l'ai testé par un
egrep -f regexp /var/log/apache2/error.log ... il est OK
j'ai mis ce regexp dans un
/etc/logcheck/ignore.d.server/local-rules
dont j'ai fait un lien
ln -s /etc/logcheck/ignore.d.server/local-rules local-rules
dans
/etc/logcheck/violations.ignore.d
vérifié les droits ..
...
mais ça ne marche pas.
je me retrouve toujours avec le même rapport..
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1282293508.7142.28.camel@p0064.vcharite.univ-mrs.fr
C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant la correction d'oscinventory-agent.
> /etc/logcheck/ignore.d.server/<local-rules> ou > /etc/logcheck/violations.ignore.d > ??
Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très généralement dans ignore.d.server/ Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes mes exceptions.
C'est la solution que j'ai essayé de mettre en oeuvre j'ai trouvé la bonne regexp qui definit le log a supprimer dans le rapport de logcheck
je l'ai testé par un egrep -f regexp /var/log/apache2/error.log ... il est OK j'ai mis ce regexp dans un /etc/logcheck/ignore.d.server/local-rules dont j'ai fait un lien ln -s /etc/logcheck/ignore.d.server/local-rules local-rules dans /etc/logcheck/violations.ignore.d vérifié les droits .. ... mais ça ne marche pas. je me retrouve toujours avec le même rapport..
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Julien Valroff
Le vendredi 20 août 2010 à 10:38 +0200, Jean-Paul Lacharme a écrit :
..... > > Agir au niveau de logcheck > > C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant > la correction d'oscinventory-agent. > > > /etc/logcheck/ignore.d.server/<local-rules> ou > > /etc/logcheck/violations.ignore.d > > ?? > > Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très > généralement dans ignore.d.server/ > Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes > mes exceptions.
C'est la solution que j'ai essayé de mettre en oeuvre j'ai trouvé la bonne regexp qui definit le log a supprimer dans le rapport de logcheck
je l'ai testé par un egrep -f regexp /var/log/apache2/error.log ... il est OK
Il faut tester avec : sed -e 's/[[:space:]]*$//' /var/log/syslog | egrep "<regex>"
Pour autant que je sache, logcheck ne vérifie pas les logs apache.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le vendredi 20 août 2010 à 10:38 +0200, Jean-Paul Lacharme a écrit :
.....
> > Agir au niveau de logcheck
>
> C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant
> la correction d'oscinventory-agent.
>
> > /etc/logcheck/ignore.d.server/<local-rules> ou
> > /etc/logcheck/violations.ignore.d
> > ??
>
> Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très
> généralement dans ignore.d.server/
> Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes
> mes exceptions.
C'est la solution que j'ai essayé de mettre en oeuvre
j'ai trouvé la bonne regexp qui definit le log a supprimer dans le
rapport de logcheck
je l'ai testé par un
egrep -f regexp /var/log/apache2/error.log ... il est OK
Il faut tester avec :
sed -e 's/[[:space:]]*$//' /var/log/syslog | egrep "<regex>"
Pour autant que je sache, logcheck ne vérifie pas les logs apache.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1282296640.32571.1.camel@gaia.kirya.net
Le vendredi 20 août 2010 à 10:38 +0200, Jean-Paul Lacharme a écrit :
..... > > Agir au niveau de logcheck > > C'est la solution la plus aisée, que je qualifierais de "temporaire", en attendant > la correction d'oscinventory-agent. > > > /etc/logcheck/ignore.d.server/<local-rules> ou > > /etc/logcheck/violations.ignore.d > > ?? > > Tout dépend de ce qui te fait remonter ces informations. Par expérience, c'est très > généralement dans ignore.d.server/ > Personnellement, je créé un fichier unique fichier local dans lequel je mets toutes > mes exceptions.
C'est la solution que j'ai essayé de mettre en oeuvre j'ai trouvé la bonne regexp qui definit le log a supprimer dans le rapport de logcheck
je l'ai testé par un egrep -f regexp /var/log/apache2/error.log ... il est OK
Il faut tester avec : sed -e 's/[[:space:]]*$//' /var/log/syslog | egrep "<regex>"
Pour autant que je sache, logcheck ne vérifie pas les logs apache.