Je tente de trouver un "syslog" pour OpenBSD. Celui par défaut marche
bien mais ne permet pas de logguer à un endroit différent ce qui
arrive de telle machine. Je tente donc syslog-ng qui ne fonctionne pas
trop : la plupart des messages ne sont pas loggués (en gros, j'ai
cron, newsyslog et sudo ; par exemple, rien pour isakmpd malgré un
filtre spécial). Y'en a-t-il d'autres ?
--
I WILL NOT HIDE THE TEACHER'S PROZAC
I WILL NOT HIDE THE TEACHER'S PROZAC
I WILL NOT HIDE THE TEACHER'S PROZAC
-+- Bart Simpson on chalkboard in episode 3G03
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Cabaud
Vincent Bernat wrote:
Je tente de trouver un "syslog" pour OpenBSD. Celui par défaut marche bien mais ne permet pas de logguer à un endroit différent ce qui arrive de telle machine. Je tente donc syslog-ng qui ne fonctionne pas trop : la plupart des messages ne sont pas loggués (en gros, j'ai cron, newsyslog et sudo ; par exemple, rien pour isakmpd malgré un filtre spécial). Y'en a-t-il d'autres ?
Sinon, regarde aussi ce que savent faire des filtres comme - swatch (pas taper non plus, merci) - logsurfer
Je crois voir ce que tu veux et la seconde solution est a prendre en compte. A coupler avec root-tail, l'outil magique qui impose le respect et l'admiration, que dis-je l'adoration, la veneration, ad vitam de tes lusers !
pc
Vincent Bernat wrote:
Je tente de trouver un "syslog" pour OpenBSD. Celui par défaut marche
bien mais ne permet pas de logguer à un endroit différent ce qui
arrive de telle machine. Je tente donc syslog-ng qui ne fonctionne pas
trop : la plupart des messages ne sont pas loggués (en gros, j'ai
cron, newsyslog et sudo ; par exemple, rien pour isakmpd malgré un
filtre spécial). Y'en a-t-il d'autres ?
Sinon, regarde aussi ce que savent faire des filtres comme
- swatch (pas taper non plus, merci)
- logsurfer
Je crois voir ce que tu veux et la seconde solution est a prendre en
compte. A coupler avec root-tail, l'outil magique qui impose le respect
et l'admiration, que dis-je l'adoration, la veneration, ad vitam de tes
lusers !
Je tente de trouver un "syslog" pour OpenBSD. Celui par défaut marche bien mais ne permet pas de logguer à un endroit différent ce qui arrive de telle machine. Je tente donc syslog-ng qui ne fonctionne pas trop : la plupart des messages ne sont pas loggués (en gros, j'ai cron, newsyslog et sudo ; par exemple, rien pour isakmpd malgré un filtre spécial). Y'en a-t-il d'autres ?
Sinon, regarde aussi ce que savent faire des filtres comme - swatch (pas taper non plus, merci) - logsurfer
Je crois voir ce que tu veux et la seconde solution est a prendre en compte. A coupler avec root-tail, l'outil magique qui impose le respect et l'admiration, que dis-je l'adoration, la veneration, ad vitam de tes lusers !
pc
Marwan Burelle
On Wed, 13 Oct 2004 01:37:46 +0200 Pascal Cabaud wrote:
Sinon, regarde aussi ce que savent faire des filtres comme - swatch (pas taper non plus, merci)
J'ai pas essayé je ne te taperais pas Pascal ;)
- logsurfer
C'est pas mal, mais ... quasiment tout ce qu'il faut peut être fait aussi facilement avec des bouts de scripts (perl ou autre, voir même simplement du grep) et la partie qui aurait pu être intéressantes (pouvoir faire du filtrage en fonction d'entrées logs précédantes) est presque inutilisable (c'est le pourquoi de detescan : http://www.igh.cnrs.fr/perso/denis.pugnere/detescan/detescan.html ;)
Bon, sinon, pour information, le syslog de FreeBSD fait la switch sur le host d'origine (comme sur les programmes mais règles par règles avec des combinaisons possibles) je ne sais pas s'il n'est pas possible de faire le transfert (il y a 5 fichiers en tout est pour tout dont 2 man pages et un Makefile, ça ne doit pas être trop, hum, compliqué ;)
Je crois voir ce que tu veux et la seconde solution est a prendre en compte. A coupler avec root-tail, l'outil magique qui impose le respect et l'admiration, que dis-je l'adoration, la veneration, ad vitam de tes lusers !
Que tu peux perdre aussi rapidement, la prochaine fois que tu leur auras désactivé leur compte, suite à ce que tu aura découvert dans tes logs ... ;)
-- Burelle Marwan, Equipe Bases de Donnees - LRI http://www.cduce.org ( | )
On Wed, 13 Oct 2004 01:37:46 +0200
Pascal Cabaud <pcNO@SPAMeila.jussieu.fr> wrote:
Sinon, regarde aussi ce que savent faire des filtres comme
- swatch (pas taper non plus, merci)
J'ai pas essayé je ne te taperais pas Pascal ;)
- logsurfer
C'est pas mal, mais ... quasiment tout ce qu'il faut peut être fait
aussi facilement avec des bouts de scripts (perl ou autre, voir même
simplement du grep) et la partie qui aurait pu être intéressantes
(pouvoir faire du filtrage en fonction d'entrées logs précédantes) est
presque inutilisable (c'est le pourquoi de detescan :
http://www.igh.cnrs.fr/perso/denis.pugnere/detescan/detescan.html ;)
Bon, sinon, pour information, le syslog de FreeBSD fait la switch sur le
host d'origine (comme sur les programmes mais règles par règles avec des
combinaisons possibles) je ne sais pas s'il n'est pas possible de faire
le transfert (il y a 5 fichiers en tout est pour tout dont 2 man pages
et un Makefile, ça ne doit pas être trop, hum, compliqué ;)
Je crois voir ce que tu veux et la seconde solution est a prendre en
compte. A coupler avec root-tail, l'outil magique qui impose le
respect et l'admiration, que dis-je l'adoration, la veneration, ad
vitam de tes lusers !
Que tu peux perdre aussi rapidement, la prochaine fois que tu leur auras
désactivé leur compte, suite à ce que tu aura découvert dans tes logs
... ;)
--
Burelle Marwan,
Equipe Bases de Donnees - LRI
http://www.cduce.org
(burelle@lri.fr | Marwan.Burelle@ens.fr)
Sinon, regarde aussi ce que savent faire des filtres comme - swatch (pas taper non plus, merci)
J'ai pas essayé je ne te taperais pas Pascal ;)
- logsurfer
C'est pas mal, mais ... quasiment tout ce qu'il faut peut être fait aussi facilement avec des bouts de scripts (perl ou autre, voir même simplement du grep) et la partie qui aurait pu être intéressantes (pouvoir faire du filtrage en fonction d'entrées logs précédantes) est presque inutilisable (c'est le pourquoi de detescan : http://www.igh.cnrs.fr/perso/denis.pugnere/detescan/detescan.html ;)
Bon, sinon, pour information, le syslog de FreeBSD fait la switch sur le host d'origine (comme sur les programmes mais règles par règles avec des combinaisons possibles) je ne sais pas s'il n'est pas possible de faire le transfert (il y a 5 fichiers en tout est pour tout dont 2 man pages et un Makefile, ça ne doit pas être trop, hum, compliqué ;)
Je crois voir ce que tu veux et la seconde solution est a prendre en compte. A coupler avec root-tail, l'outil magique qui impose le respect et l'admiration, que dis-je l'adoration, la veneration, ad vitam de tes lusers !
Que tu peux perdre aussi rapidement, la prochaine fois que tu leur auras désactivé leur compte, suite à ce que tu aura découvert dans tes logs ... ;)
-- Burelle Marwan, Equipe Bases de Donnees - LRI http://www.cduce.org ( | )
Marwan Burelle
On Thu, 14 Oct 2004 21:25:37 +0200 Pascal Cabaud wrote:
Désolé de répondre si tard, mais conf pas de net tout ça ;)
Script Perl, assez infame, des fois ca marche. La gestion du fichier de config m'a tjs laisse reveur par exemple. Ca, plus des fork() a la moindre occasion...
Ah ... perl ... ;)
Je me ferais bien si j'avais le temps un analyseur de log en ocaml (ou en CDuce !) mais bon, j'ai une thèse à finir avant ;)
Oui, mais a ma connaissance, detescan ne permet pas de gerer autre chose que des logs Cisco et fw divers et varies. Or j'ai des logs de bcp d'autre choses a gerer ;-)
Oui, effectivement, c'est orienté détection de scan (comme son nom l'indique.) Et je vois pas comment on peut détecter des scans ailleurs que sur des logs de routeur ou de fw (ou alors, on m'aurait menti ! ;)
Mouais, je prefer msyslog. Depuis que j'ai teste son moteur de regexp,
Ah, je dis pas, disons que dans le post original, l'auteur demande si cette feature était dispo, et elle l'est dans le syslog de freebsd, maintenant s'il existe un remplacant mieux, tant mieux ;)
je me dis qu'un filtre comme swatch ou logsurfer est inutile (et du meme coup detescan :-P)
Oui, surtout vu ce que ces progs apportent ...
Que neni, ils viennent t'implorer a genoux, en rampant meme, de leur reouvrir le compte :-P
Oh, mais le luser est hyppocrite, il cire les pompes par devant et polue ton système par derrière, l'infame !
-- Burelle Marwan, Equipe Bases de Donnees - LRI http://www.cduce.org ( | )
On Thu, 14 Oct 2004 21:25:37 +0200
Pascal Cabaud <pcNO@SPAMeila.jussieu.fr> wrote:
Désolé de répondre si tard, mais conf pas de net tout ça ;)
Script Perl, assez infame, des fois ca marche. La gestion
du fichier de config m'a tjs laisse reveur par exemple. Ca, plus
des fork() a la moindre occasion...
Ah ... perl ... ;)
Je me ferais bien si j'avais le temps un analyseur de log en ocaml (ou
en CDuce !) mais bon, j'ai une thèse à finir avant ;)
Oui, mais a ma connaissance, detescan ne permet pas de gerer autre
chose que des logs Cisco et fw divers et varies. Or j'ai des logs de
bcp d'autre choses a gerer ;-)
Oui, effectivement, c'est orienté détection de scan (comme son nom
l'indique.) Et je vois pas comment on peut détecter des scans ailleurs
que sur des logs de routeur ou de fw (ou alors, on m'aurait menti ! ;)
Mouais, je prefer msyslog. Depuis que j'ai teste son moteur de regexp,
Ah, je dis pas, disons que dans le post original, l'auteur demande si
cette feature était dispo, et elle l'est dans le syslog de freebsd,
maintenant s'il existe un remplacant mieux, tant mieux ;)
je me dis qu'un filtre comme swatch ou logsurfer est inutile (et du
meme coup detescan :-P)
Oui, surtout vu ce que ces progs apportent ...
Que neni, ils viennent t'implorer a genoux, en rampant meme, de leur
reouvrir le compte :-P
Oh, mais le luser est hyppocrite, il cire les pompes par devant et polue
ton système par derrière, l'infame !
--
Burelle Marwan,
Equipe Bases de Donnees - LRI
http://www.cduce.org
(burelle@lri.fr | Marwan.Burelle@ens.fr)
On Thu, 14 Oct 2004 21:25:37 +0200 Pascal Cabaud wrote:
Désolé de répondre si tard, mais conf pas de net tout ça ;)
Script Perl, assez infame, des fois ca marche. La gestion du fichier de config m'a tjs laisse reveur par exemple. Ca, plus des fork() a la moindre occasion...
Ah ... perl ... ;)
Je me ferais bien si j'avais le temps un analyseur de log en ocaml (ou en CDuce !) mais bon, j'ai une thèse à finir avant ;)
Oui, mais a ma connaissance, detescan ne permet pas de gerer autre chose que des logs Cisco et fw divers et varies. Or j'ai des logs de bcp d'autre choses a gerer ;-)
Oui, effectivement, c'est orienté détection de scan (comme son nom l'indique.) Et je vois pas comment on peut détecter des scans ailleurs que sur des logs de routeur ou de fw (ou alors, on m'aurait menti ! ;)
Mouais, je prefer msyslog. Depuis que j'ai teste son moteur de regexp,
Ah, je dis pas, disons que dans le post original, l'auteur demande si cette feature était dispo, et elle l'est dans le syslog de freebsd, maintenant s'il existe un remplacant mieux, tant mieux ;)
je me dis qu'un filtre comme swatch ou logsurfer est inutile (et du meme coup detescan :-P)
Oui, surtout vu ce que ces progs apportent ...
Que neni, ils viennent t'implorer a genoux, en rampant meme, de leur reouvrir le compte :-P
Oh, mais le luser est hyppocrite, il cire les pompes par devant et polue ton système par derrière, l'infame !
-- Burelle Marwan, Equipe Bases de Donnees - LRI http://www.cduce.org ( | )
