Sie sind nicht angemeldet.

[gelöst] syslog-ng

Lieber Besucher, herzlich willkommen bei: GentooForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

rudib

Profi

  • »rudib« ist männlich
  • »rudib« ist der Autor dieses Themas

Beiträge: 773

  • Nachricht senden

1

27.03.2006, 20:40

[gelöst] syslog-ng

Hallo,

auf meinem Mail- und Sonstwas-Server wird die Mail-Log mit den folgenden Meldungen zugemüllt:

Quellcode

 
1
2
3

Mar 27 18:51:07 gateway imapd-ssl: Connection, ip=[::ffff:192.168.178.22]
Mar 27 18:51:07 gateway imapd-ssl: LOGIN, user=rudi, ip=[::ffff:192.168.178.22], protocol=IMAP
Mar 27 18:51:07 gateway imapd-ssl: LOGOUT, user=rudi, ip=[::ffff:192.168.178.22], headers=0, body=0, time=0, starttls=1
Ich weiß, daß die Meldungen durch das Programm kbiff auf einer anderen Maschine verursacht werden.
Da ich keine Möglichkeit sehe, die Meldungen im imapd "wegzukonfigurieren", kam ich auf den Gedanken, diese mittels syslog-ng zu unterdrücken.

Ich habe deshalb in der syslog-ng.conf folgendes eingefügt:

Quellcode

 
1
2
3
4

destination imapd { file("/var/log/mail/imapd.log"); };
filter f_imapd { program("imapd-ssl") and match("ip=[::ffff:192.168.178.22]"); };
filter f_mail { facility(mail) and not filter(f_imapd); };
log { source(src); filter(f_imapd); destination(imapd); };
(die Log-Datei will ich anschließend regelmäßig mittels cron löschen).
Nun das Problem: so funktionierts leider nicht.
Nach einigem "trial and error" fand ich heraus, daß offensichtlich das match("ip=\[::ffff:192\.168\.178\.22\]" stört. Wenn ich das aus der Filter-Regel weglasse, funktionierts wie gewünscht. Allerdings gefällt mir nicht, daß dann sämtliche imapd-Meldungen verschwinden.

Weiß vielleicht jemand, was ich an der match-Funktion falsch gemacht habe?

TIA
Rudi
Seien Sie vorsichtig mit Gesundheitsbüchern - Sie könnten an einem Druckfehler sterben. [Mark Twain]

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »rudib« (28.03.2006, 17:54)

loskornosdelsol

Profi

Beiträge: 777

  • Nachricht senden

2

27.03.2006, 23:38

Moin!

Ich habe das hier

Zitat


destination imapd { file("/var/log/mail/imapd.log"); };
filter f_imapd { program("imapd-ssl") and match("ip=\[::ffff:192\.168\.178\.22\]"); };
filter f_mail { facility(mail) and not filter(f_imapd); };
log { source(src); filter(f_imapd); destination(imapd); };


mal an meine Konfiguration angepasst. In der syslog-ng.conf steht nun zusätzlich:

Quellcode

 
1
2
3
4

destination d_pop3d { file("/var/log/pop3d.log"); };
filter f_pop3d { match("192.168.178.24"); };
filter f_mail { facility(mail) and not filter(f_pop3d); };
log { source(src); filter(f_pop3d); destination(d_pop3d); };


und ich bekomme die drei entsprechenden Zeilen in die "/var/log/pop3d.log" geschrieben. Allerdings habe ich es nicht hinbekommen, "program(...)" mit einzubinden.


mfG
loskornosdelsol
Frequent lock ups are a symptom of not enough memory but only in the way that nosebleeds are a symptom of gunshot wounds to the head.

rudib

Profi

  • »rudib« ist männlich
  • »rudib« ist der Autor dieses Themas

Beiträge: 773

  • Nachricht senden

3

28.03.2006, 00:23

Zitat

Original von loskornosdelsol
Allerdings habe ich es nicht hinbekommen, "program(...)" mit einzubinden.

Genau das scheint das Problem zu sein. Ein Filter "program(...) and match(...)" tut irgendwie nicht.
Wenn ich jetzt wie Du nur nach der IP-Nr. filtere, "verschwinden" natürlich noch mehr Meldungen, die ich eigentlich geloggt haben möchte.

Trotzdem besten Dank für Deine Antwort!

Gruß
Rudi
Seien Sie vorsichtig mit Gesundheitsbüchern - Sie könnten an einem Druckfehler sterben. [Mark Twain]

loskornosdelsol

Profi

Beiträge: 777

  • Nachricht senden

4

28.03.2006, 00:50

Mhmm, schöner wäre es natürlich mit "program" ... aber das will einfach nicht!

Ich könnte noch das hier anbieten :-)

Quellcode

 
1
2
3
4

filter f_messages { not facility(cron) and not match(.mbd) and not filter(f_mail); };
filter f_cron { facility(cron); };
filter f_pop3 { match("pop3.*192.168.178.24"); };
filter f_mail { facility(mail) and filter(f_pop3); };



Hat das bei dir den gewünschten Effekt?
Frequent lock ups are a symptom of not enough memory but only in the way that nosebleeds are a symptom of gunshot wounds to the head.

rudib

Profi

  • »rudib« ist männlich
  • »rudib« ist der Autor dieses Themas

Beiträge: 773

  • Nachricht senden

5

28.03.2006, 01:25

Ich habe gerade mal folgendes versucht:

Quellcode

 
1
2
3
4

filter f_imapd1 { program("imapd-ssl"); };
filter f_imapd2 { match("192.168.178.22"); };
filter f_imapd { filter(f_imapd1) and filter(f_imapd2); };
filter f_mail { facility(mail) and not filter(f_imapd); };
Sieht wie Schwachfug aus, scheint aber zu funktionieren...

Wenn bis morgen, äh heute nachmittag nichts passiert, werde ich den Thread auf [gelöst] setzen.

Gruß
Rudi
Seien Sie vorsichtig mit Gesundheitsbüchern - Sie könnten an einem Druckfehler sterben. [Mark Twain]

loskornosdelsol

Profi

Beiträge: 777

  • Nachricht senden

6

28.03.2006, 01:42

LOL?

Folgendes scheint auch zu funktionieren (keine Ahnung warum es nun auch mit program geht):

Quellcode

 
1
2
3
4

filter          f_pop3 { program("pop3") and match("192.168.178.24"); };
filter          f_mail { facility(mail) and filter(f_pop3); };
destination d_mail { file("/var/log/mail.log"); };
log { source(src); filter(f_mail); destination(d_mail); };



Seltsam finde ich "man syslog-ng.conf" (überall steht "...program name"):

Quellcode

 
1
2
3

       * program(regexp to match program name)
       * host(regexp to match program name)
       * match(regexp to match program name)




Du bist übrigens der erste den ich "sehe", der auch im subnet 192.168.178.255 sitzt.
Frequent lock ups are a symptom of not enough memory but only in the way that nosebleeds are a symptom of gunshot wounds to the head.

rudib

Profi

  • »rudib« ist männlich
  • »rudib« ist der Autor dieses Themas

Beiträge: 773

  • Nachricht senden

7

28.03.2006, 14:12

Zitat

Original von loskornosdelsol
Du bist übrigens der erste den ich "sehe", der auch im subnet 192.168.178.255 sitzt.


Hattu auch 'ne AVM-FritzBox? :)
Bei dem Hersteller scheint dieses Subnet eine Naturkonstante zu sein...
Seien Sie vorsichtig mit Gesundheitsbüchern - Sie könnten an einem Druckfehler sterben. [Mark Twain]

loskornosdelsol

Profi

Beiträge: 777

  • Nachricht senden

8

28.03.2006, 15:45

Zitat

Hattu auch 'ne AVM-FritzBox? :)
Bei dem Hersteller scheint dieses Subnet eine Naturkonstante zu sein...


Ja *LOL* ich hänge auch hinter so einer FrtzBox, aber unfreiwillig.

Der Grund warum das bei erst nicht funktioniert hat, program und match in einem Filter zu vereinigen, waren übrigens fehlende Entenfüßchen ("pop3").

Läuft das nun bei dir auch mit program und match in einer Zeile, oder setzt du aus das Konstrukt mit f_imapd1 und f_imapd2?
Frequent lock ups are a symptom of not enough memory but only in the way that nosebleeds are a symptom of gunshot wounds to the head.

rudib

Profi

  • »rudib« ist männlich
  • »rudib« ist der Autor dieses Themas

Beiträge: 773

  • Nachricht senden

9

28.03.2006, 17:54

Zitat

Original von loskornosdelsol
Läuft das nun bei dir auch mit program und match in einer Zeile, oder setzt du aus das Konstrukt mit f_imapd1 und f_imapd2?

Ich lass es erst mal bei meiner Lösung, werde diesen Thread aber bookmarken.

Gruß
Rudi
Seien Sie vorsichtig mit Gesundheitsbüchern - Sie könnten an einem Druckfehler sterben. [Mark Twain]

Häufig verwendete Suchbegriffe:

www.my-echo.de mobile-parts-discount.net Andere Architekturen Lob & Kritik Gentoo Linux bka trojaner finden Emerge Probleme softwaregarage.de Drucker Linux Computer und Notebooks