syslogd: Unterdrücken aller Log-Einträge eines Benutzers
syslogd: Unterdrücken aller Log-Einträge eines Benutzers
Hallo !
Ich habe eine IP-Cam an meinen Server, die über FTP bei Bewegungserkennung Bilder auf den Server schickt. Das funktioniert soweit prima. Das Problem ist, dass mir dieser Cam-User alle Logs "vollmüllt" (/var/log/auth.log, /var/log/syslog, ...). Gibt es eine Möglichkeit die Log-Einträge für diesen Benutzer komplett zu unterbinden ?
Ich habe schon gegooglet wir verrückt, aber syslogd kann man wohl nicht so konfigurieren.
Muss ich syslog-ng verwenden ?
Michael
Ich habe eine IP-Cam an meinen Server, die über FTP bei Bewegungserkennung Bilder auf den Server schickt. Das funktioniert soweit prima. Das Problem ist, dass mir dieser Cam-User alle Logs "vollmüllt" (/var/log/auth.log, /var/log/syslog, ...). Gibt es eine Möglichkeit die Log-Einträge für diesen Benutzer komplett zu unterbinden ?
Ich habe schon gegooglet wir verrückt, aber syslogd kann man wohl nicht so konfigurieren.
Muss ich syslog-ng verwenden ?
Michael
Linux:
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)
Re: syslogd: Unterdrücken aller Log-Einträge eines Benutzers
· poste mal einige Zeilen aus den Logs.
· welchen ftpd benutzt du?
Wäre es eine Möglichkeit dem ftpd das loggen allgemein zu verbieten, oder nutzt du ihn noch für andere Aufgaben?
(Wenn ja, warum nutzt du nicht ssh/scp/sftp?)
· welchen ftpd benutzt du?
Wäre es eine Möglichkeit dem ftpd das loggen allgemein zu verbieten, oder nutzt du ihn noch für andere Aufgaben?
(Wenn ja, warum nutzt du nicht ssh/scp/sftp?)
Re: syslogd: Unterdrücken aller Log-Einträge eines Benutzers
Hi !
Nicht der FTP-Server (in meinem Fall proftpd) ist das Problem, sondern die ganzen Log-Einträge, die von dem User "vollgemüllt" werden:
Und last -i liefert auch nur den gleichen User
Das muss man doch "irgendwie" unterdrücken konnen
Michael
Nicht der FTP-Server (in meinem Fall proftpd) ist das Problem, sondern die ganzen Log-Einträge, die von dem User "vollgemüllt" werden:
Code: Alles auswählen
# less /var/log/syslog
.
.
Jun 9 06:40:13 <myserver> proftpd[6107]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun 9 06:40:13 <myserver> proftpd[6107]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release. Please use the DisplayChdir directive.
Jun 9 06:40:14 <myserver> proftpd[6110]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun 9 06:40:14 <myserver> proftpd[6110]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release. Please use the DisplayChdir directive.
Jun 9 06:40:16 <myserver> proftpd[6113]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun 9 06:40:16 <myserver> proftpd[6113]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release. Please use the DisplayChdir directive.
Jun 9 06:40:17 <myserver> proftpd[6117]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun 9 06:40:17 <myserver> proftpd[6117]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release. Please use the DisplayChdir directive.
Jun 9 06:40:18 <myserver> proftpd[6120]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun 9 06:40:18 <myserver> proftpd[6120]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release. Please use the DisplayChdir directive.
.
.
Code: Alles auswählen
# less /var/log/auth.log
.
.
Jun 8 06:51:37 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun 8 06:51:38 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun 8 06:51:38 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun 8 06:51:39 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun 8 06:51:39 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun 8 06:51:41 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun 8 06:51:41 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun 8 06:51:42 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun 8 06:51:42 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun 8 06:51:43 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun 8 06:51:43 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun 8 06:51:44 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
.
.
Code: Alles auswählen
# less /var/log/proftpd/proftpd.log
.
.
Jun 01 06:54:45 <myserver> proftpd[5728] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session opened.
Jun 01 06:54:45 <myserver> proftpd[5728] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): USER <cam-user>: Login successful.
Jun 01 06:54:45 <myserver> proftpd[5728] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session closed.
Jun 01 06:54:47 <myserver> proftpd[5731] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session opened.
Jun 01 06:54:47 <myserver> proftpd[5731] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): USER <cam-user>: Login successful.
Jun 01 06:54:47 <myserver> proftpd[5731] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session closed.
Jun 01 06:54:48 <myserver> proftpd[5734] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session opened.
.
.
Code: Alles auswählen
# last -i
.
.
<cam-user> ftpd13605 192.168.xx.xx Mon Jun 7 12:28 - 12:28 (00:00)
<cam-user> ftpd13602 192.168.xx.xx Mon Jun 7 12:28 - 12:28 (00:00)
<cam-user> ftpd13598 192.168.xx.xx Mon Jun 7 12:28 - 12:28 (00:00)
<cam-user> ftpd13595 192.168.xx.xx Mon Jun 7 12:28 - 12:28 (00:00)
<cam-user> ftpd13592 192.168.xx.xx Mon Jun 7 12:28 - 12:28 (00:00)
.
.
Michael
Linux:
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)
Re: syslogd: Unterdrücken aller Log-Einträge eines Benutzers
syslog-ng oder rsyslogd,
gewöhnungsbedürftig aber vielseitig.
gewöhnungsbedürftig aber vielseitig.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: syslogd: Unterdrücken aller Log-Einträge eines Benutzers
Hallo !
Habe jetzt syslog-ng statt syslogd auf dem System. Mit 2 simplen Filtern bekommt man /var/log/auth.log und /var/log/syslog frei von den nervigen Einträgen:
Die Datei /var/log/wtmp wird aber immer noch "vollgemüllt". Kann da syslog-ng auch Abhilfe schaffen ?
Grüße Michael
Habe jetzt syslog-ng statt syslogd auf dem System. Mit 2 simplen Filtern bekommt man /var/log/auth.log und /var/log/syslog frei von den nervigen Einträgen:
Code: Alles auswählen
.
.
# all messages from the auth and authpriv facilities
filter f_auth { facility(auth, authpriv) and not match("<cam-user>"); };
# all messages except from the auth and authpriv facilities
filter f_syslog { not facility(auth, authpriv) and not match("192.168.xx.xx") and not match("DisplayFirstChdir"); };
.
.
Grüße Michael
Linux:
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)
Re: syslogd: Unterdrücken aller Log-Einträge eines Benutzers
Hallo !
Ich will Euch die Lösung mit den Log-Einträgen von proftpd nicht vorenthalten.
Zunächst habe ich proftpd umkonfiguriert:
Dann muss man für syslog-ng das Facility 'local7' anlegen:
Damit sind alle unerwünschten Einträge weg.
Bleibt das Problem mit dem binären Log /var/log/wtmp ...
Grüße Michael
Ich will Euch die Lösung mit den Log-Einträgen von proftpd nicht vorenthalten.
Zunächst habe ich proftpd umkonfiguriert:
Code: Alles auswählen
.
.
TransferLog /var/log/proftpd/xferlog
## SystemLog /var/log/proftpd/proftpd.log
SyslogFacility LOCAL7 notice
.
.
Code: Alles auswählen
.
.
destination df_proftpd { file("/var/log/proftpd/proftpd.log"); };
.
.
filter f_syslog { not facility(auth, authpriv, local7) and not match("192.168.xx.xx") and not match("DisplayFirstChdir"); };
.
.
filter f_proftpd { facility(local7) and not match("192.168.xx.xx") and not match("<cam-user>"); };
.
.
filter f_messages {
level(info,notice,warn)
and not facility(auth,authpriv,cron,daemon,mail,news,local7);
};
.
.
log {
source(s_all);
filter(f_proftpd);
destination(df_proftpd);
};
.
.
Bleibt das Problem mit dem binären Log /var/log/wtmp ...
Grüße Michael
Linux:
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)
Re: syslogd: Unterdrücken aller Log-Einträge eines Benutzers
Wie wäre es wenn man einfach mal die Config ändert ! und schon ist eine Fehlermeldung weg dauer 10 sek.
Schon mal was gehört von man oder von Internet ? damit ist es über ein Browser möglich Webseiten aufrufen und zum Bsp direkt bei Propftpd sich Tipps holen
Schon mal was gehört von man oder von Internet ? damit ist es über ein Browser möglich Webseiten aufrufen und zum Bsp direkt bei Propftpd sich Tipps holen
You Disapeared In The Darkness Of The Night...
Re: syslogd: Unterdrücken aller Log-Einträge eines Benutzers
Was willst Du mir mit Deinem geistreichen Betrag mitteilen ?Evox hat geschrieben:Wie wäre es wenn man einfach mal die Config ändert ! und schon ist eine Fehlermeldung weg dauer 10 sek.
Schon mal was gehört von man oder von Internet ? damit ist es über ein Browser möglich Webseiten aufrufen und zum Bsp direkt bei Propftpd sich Tipps holen
Fehlermeldung gibt es keine, sondern nur überflüssige Log-Einträge. Und alles auf /dev/null umzuleiten od. die Log ganz abschalten ist für mich keine akzeptable Lösung.
Michael
Linux:
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)
* Intel NUC D54250WYKH mit Debian GNU/Linux 9.13 (stretch) (Gnome)
* Raspberry 1x Pi2 Raspbian GNU/Linux 9.11 (stretch)
* Raspberry 2x Zero W mit Raspbian GNU/Linux 10 (buster)