Quand il y a plusieurs lignes identiques sauf la date dans un log système,
ceci apparaît sous la forme suivante dans les logs :
Jan 16 15:42:00 siegel last message repeated 2 times
Ça a tendance à jeter un peu le trouble au niveau d'outils analysant les
logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette
fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce
sujet...
Merci d'avance !
Manuel.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Franck JONCOURT
On Wed, 16 Jan 2008 16:00:01 +0100, mpg wrote:
Bonjour,
Bonsoir,
Quand il y a plusieurs lignes identiques sauf la date dans un log système, ceci apparaît sous la forme suivante dans les logs :
Jan 16 15:42:00 siegel last message repeated 2 times
Ça a tendance à jeter un peu le trouble au niveau d'outils analysant
les
logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce sujet...
Avec sysklogd sur notre bien aimé Debian, il semble que cela ne soit pas faisable. En regardant le code source, je ne vois rien non plus qui permettent de gérer cela, mais si quelqu'un peut confirmer.
Il y a un rapport de bug à ce sujet à propos de fail2ban et la compression des logs, avec un patch fournit.
Par contre, au niveau du changelog il ne semble pas qu'il ait été appliqué.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Wed, 16 Jan 2008 16:00:01 +0100, mpg <manuel.pg@free.fr> wrote:
Bonjour,
Bonsoir,
Quand il y a plusieurs lignes identiques sauf la date dans un log
système,
ceci apparaît sous la forme suivante dans les logs :
Jan 16 15:42:00 siegel last message repeated 2 times
Ça a tendance à jeter un peu le trouble au niveau d'outils analysant
les
logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette
fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce
sujet...
Avec sysklogd sur notre bien aimé Debian, il semble que cela
ne soit pas faisable. En regardant le code source, je ne vois rien
non plus qui permettent de gérer cela, mais si quelqu'un peut
confirmer.
Il y a un rapport de bug à ce sujet à propos de fail2ban et la
compression des logs, avec un patch fournit.
Par contre, au niveau du changelog il ne semble pas qu'il ait
été appliqué.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Quand il y a plusieurs lignes identiques sauf la date dans un log système, ceci apparaît sous la forme suivante dans les logs :
Jan 16 15:42:00 siegel last message repeated 2 times
Ça a tendance à jeter un peu le trouble au niveau d'outils analysant
les
logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce sujet...
Avec sysklogd sur notre bien aimé Debian, il semble que cela ne soit pas faisable. En regardant le code source, je ne vois rien non plus qui permettent de gérer cela, mais si quelqu'un peut confirmer.
Il y a un rapport de bug à ce sujet à propos de fail2ban et la compression des logs, avec un patch fournit.
Par contre, au niveau du changelog il ne semble pas qu'il ait été appliqué.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Wed, Jan 16, 2008 at 04:00:01PM +0100, mpg wrote a message of 25 lines which said:
Jan 16 15:42:00 siegel last message repeated 2 times
[...]
Y a-t-il moyen de désactiver cette fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai fortement. N'importe quel processus (voire n'importe quelle machine si vous avez activé l'accès à distance) peut envoyer des messages à syslog sans authentification. Sans cette fonction de « compression », vous seriez vulnérable à une attaque DoS triviale (remplir votre disque dur avec des messages bidon).
Cf. RFC 3164, section 6.10 "Load Considerations"
Network administrators must take the time to estimate the appropriate size of the syslog receivers. An attacker may perform a Denial of Service attack by filling the disk of the collector with false messages. Placing the records in a circular file may alleviate this but that has the consequence of not ensuring that an administrator will be able to review the records in the future. Along this line, a receiver or collector must have a network interface capable of receiving all messages sent to it.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Wed, Jan 16, 2008 at 04:00:01PM +0100,
mpg <manuel.pg@free.fr> wrote
a message of 25 lines which said:
Jan 16 15:42:00 siegel last message repeated 2 times
[...]
Y a-t-il moyen de désactiver cette
fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai
fortement. N'importe quel processus (voire n'importe quelle machine si
vous avez activé l'accès à distance) peut envoyer des messages à
syslog sans authentification. Sans cette fonction de « compression »,
vous seriez vulnérable à une attaque DoS triviale (remplir votre
disque dur avec des messages bidon).
Cf. RFC 3164, section 6.10 "Load Considerations"
Network administrators must take the time to estimate the appropriate
size of the syslog receivers. An attacker may perform a Denial of
Service attack by filling the disk of the collector with false
messages. Placing the records in a circular file may alleviate this
but that has the consequence of not ensuring that an administrator
will be able to review the records in the future. Along this line, a
receiver or collector must have a network interface capable of
receiving all messages sent to it.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Wed, Jan 16, 2008 at 04:00:01PM +0100, mpg wrote a message of 25 lines which said:
Jan 16 15:42:00 siegel last message repeated 2 times
[...]
Y a-t-il moyen de désactiver cette fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai fortement. N'importe quel processus (voire n'importe quelle machine si vous avez activé l'accès à distance) peut envoyer des messages à syslog sans authentification. Sans cette fonction de « compression », vous seriez vulnérable à une attaque DoS triviale (remplir votre disque dur avec des messages bidon).
Cf. RFC 3164, section 6.10 "Load Considerations"
Network administrators must take the time to estimate the appropriate size of the syslog receivers. An attacker may perform a Denial of Service attack by filling the disk of the collector with false messages. Placing the records in a circular file may alleviate this but that has the consequence of not ensuring that an administrator will be able to review the records in the future. Along this line, a receiver or collector must have a network interface capable of receiving all messages sent to it.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pierre Chifflier
On Thu, Jan 17, 2008 at 09:13:40AM +0100, Stephane Bortzmeyer wrote:
On Wed, Jan 16, 2008 at 04:00:01PM +0100, mpg wrote a message of 25 lines which said:
> Jan 16 15:42:00 siegel last message repeated 2 times [...] > Y a-t-il moyen de désactiver cette > fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai fortement. N'importe quel processus (voire n'importe quelle machine si vous avez activé l'accès à distance) peut envoyer des messages à syslog sans authentification. Sans cette fonction de « compression », vous seriez vulnérable à une attaque DoS triviale (remplir votre disque dur avec des messages bidon).
Cette protection est illusoire .... il est facile de faire la meme chose avec une commande du type logger "message avec un id different $RANDOM"
...
Pierre
On Thu, Jan 17, 2008 at 09:13:40AM +0100, Stephane Bortzmeyer wrote:
On Wed, Jan 16, 2008 at 04:00:01PM +0100,
mpg <manuel.pg@free.fr> wrote
a message of 25 lines which said:
> Jan 16 15:42:00 siegel last message repeated 2 times
[...]
> Y a-t-il moyen de désactiver cette
> fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai
fortement. N'importe quel processus (voire n'importe quelle machine si
vous avez activé l'accès à distance) peut envoyer des messages à
syslog sans authentification. Sans cette fonction de « compression »,
vous seriez vulnérable à une attaque DoS triviale (remplir votre
disque dur avec des messages bidon).
Cette protection est illusoire .... il est facile de faire la meme chose
avec une commande du type
logger "message avec un id different $RANDOM"
On Thu, Jan 17, 2008 at 09:13:40AM +0100, Stephane Bortzmeyer wrote:
On Wed, Jan 16, 2008 at 04:00:01PM +0100, mpg wrote a message of 25 lines which said:
> Jan 16 15:42:00 siegel last message repeated 2 times [...] > Y a-t-il moyen de désactiver cette > fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai fortement. N'importe quel processus (voire n'importe quelle machine si vous avez activé l'accès à distance) peut envoyer des messages à syslog sans authentification. Sans cette fonction de « compression », vous seriez vulnérable à une attaque DoS triviale (remplir votre disque dur avec des messages bidon).
Cette protection est illusoire .... il est facile de faire la meme chose avec une commande du type logger "message avec un id different $RANDOM"
...
Pierre
mouss
Pierre Chifflier wrote:
On Thu, Jan 17, 2008 at 09:13:40AM +0100, Stephane Bortzmeyer wrote:
On Wed, Jan 16, 2008 at 04:00:01PM +0100, mpg wrote a message of 25 lines which said:
Jan 16 15:42:00 siegel last message repeated 2 times
[...]
Y a-t-il moyen de désactiver cette fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai fortement. N'importe quel processus (voire n'importe quelle machine si vous avez activé l'accès à distance) peut envoyer des messages à syslog sans authentification. Sans cette fonction de « compression », vous seriez vulnérable à une attaque DoS triviale (remplir votre disque dur avec des messages bidon).
Cette protection est illusoire .... il est facile de faire la meme chose avec une commande du type logger "message avec un id different $RANDOM"
voire faire un strings sur un gros fichier et en loguer un bout toutes les secondes/minutes/...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pierre Chifflier wrote:
On Thu, Jan 17, 2008 at 09:13:40AM +0100, Stephane Bortzmeyer wrote:
On Wed, Jan 16, 2008 at 04:00:01PM +0100,
mpg <manuel.pg@free.fr> wrote
a message of 25 lines which said:
Jan 16 15:42:00 siegel last message repeated 2 times
[...]
Y a-t-il moyen de désactiver cette
fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai
fortement. N'importe quel processus (voire n'importe quelle machine si
vous avez activé l'accès à distance) peut envoyer des messages à
syslog sans authentification. Sans cette fonction de « compression »,
vous seriez vulnérable à une attaque DoS triviale (remplir votre
disque dur avec des messages bidon).
Cette protection est illusoire .... il est facile de faire la meme chose
avec une commande du type
logger "message avec un id different $RANDOM"
voire faire un strings sur un gros fichier et en loguer un bout toutes
les secondes/minutes/...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Thu, Jan 17, 2008 at 09:13:40AM +0100, Stephane Bortzmeyer wrote:
On Wed, Jan 16, 2008 at 04:00:01PM +0100, mpg wrote a message of 25 lines which said:
Jan 16 15:42:00 siegel last message repeated 2 times
[...]
Y a-t-il moyen de désactiver cette fonctionnalité ?
Pour des raisons de sécurité, je le déconseillerai fortement. N'importe quel processus (voire n'importe quelle machine si vous avez activé l'accès à distance) peut envoyer des messages à syslog sans authentification. Sans cette fonction de « compression », vous seriez vulnérable à une attaque DoS triviale (remplir votre disque dur avec des messages bidon).
Cette protection est illusoire .... il est facile de faire la meme chose avec une commande du type logger "message avec un id different $RANDOM"
voire faire un strings sur un gros fichier et en loguer un bout toutes les secondes/minutes/...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
JeremyJ
mpg a écrit :
Bonjour,
Quand il y a plusieurs lignes identiques sauf la date dans un log systè me, ceci apparaît sous la forme suivante dans les logs :
Jan 16 15:42:00 siegel last message repeated 2 times
Ça a tendance à jeter un peu le trouble au niveau d'outils analysan t les logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce sujet...
Merci d'avance !
Manuel.
Bonjour,
Je me suis posé la même question que toi il y a quelques semaines. Je me suis renseigné, et j'ai vu qu'il fallait remplacer le syslog "de base" par syslog-ng.
Un simple "aptitude install syslog-ng" suffit.
Suite à ça, j'ai pu utiliser fail2ban sans problèmes ;-)
++
mpg a écrit :
Bonjour,
Quand il y a plusieurs lignes identiques sauf la date dans un log systè me,
ceci apparaît sous la forme suivante dans les logs :
Jan 16 15:42:00 siegel last message repeated 2 times
Ça a tendance à jeter un peu le trouble au niveau d'outils analysan t les
logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette
fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce
sujet...
Merci d'avance !
Manuel.
Bonjour,
Je me suis posé la même question que toi il y a quelques semaines. Je me suis renseigné,
et j'ai vu qu'il fallait remplacer le syslog "de base" par syslog-ng.
Un simple "aptitude install syslog-ng" suffit.
Suite à ça, j'ai pu utiliser fail2ban sans problèmes ;-)
Quand il y a plusieurs lignes identiques sauf la date dans un log systè me, ceci apparaît sous la forme suivante dans les logs :
Jan 16 15:42:00 siegel last message repeated 2 times
Ça a tendance à jeter un peu le trouble au niveau d'outils analysan t les logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce sujet...
Merci d'avance !
Manuel.
Bonjour,
Je me suis posé la même question que toi il y a quelques semaines. Je me suis renseigné, et j'ai vu qu'il fallait remplacer le syslog "de base" par syslog-ng.
Un simple "aptitude install syslog-ng" suffit.
Suite à ça, j'ai pu utiliser fail2ban sans problèmes ;-)
++
Stephane Bortzmeyer
On Thu, Jan 17, 2008 at 11:25:31AM +0100, Pierre Chifflier wrote a message of 26 lines which said:
Cette protection est illusoire .... il est facile de faire la meme chose avec une commande du type logger "message avec un id different $RANDOM"
Vu. Merci pour la correction.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Thu, Jan 17, 2008 at 11:25:31AM +0100,
Pierre Chifflier <p.chifflier@inl.fr> wrote
a message of 26 lines which said:
Cette protection est illusoire .... il est facile de faire la meme chose
avec une commande du type
logger "message avec un id different $RANDOM"
Vu. Merci pour la correction.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Thu, Jan 17, 2008 at 11:25:31AM +0100, Pierre Chifflier wrote a message of 26 lines which said:
Cette protection est illusoire .... il est facile de faire la meme chose avec une commande du type logger "message avec un id different $RANDOM"
Vu. Merci pour la correction.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact