syslogd: Unterdrücken aller Log-Einträge eines Benutzers

[VMbuseck]

Hallo !

Ich habe eine IP-Cam an meinen Server, die über FTP bei Bewegungserkennung Bilder auf den Server schickt. Das funktioniert soweit prima. Das Problem ist, dass mir dieser Cam-User alle Logs "vollmüllt" (/var/log/auth.log, /var/log/syslog, ...). Gibt es eine Möglichkeit die Log-Einträge für diesen Benutzer komplett zu unterbinden ?
Ich habe schon gegooglet wir verrückt, aber syslogd kann man wohl nicht so konfigurieren.
Muss ich syslog-ng verwenden ?

Michael

[ThorstenS]

· poste mal einige Zeilen aus den Logs.
· welchen ftpd benutzt du?

Wäre es eine Möglichkeit dem ftpd das loggen allgemein zu verbieten, oder nutzt du ihn noch für andere Aufgaben?
(Wenn ja, warum nutzt du nicht ssh/scp/sftp?)

[VMbuseck]

Hi !

Nicht der FTP-Server (in meinem Fall proftpd) ist das Problem, sondern die ganzen Log-Einträge, die von dem User "vollgemüllt" werden:

Code: Alles auswählen

# less /var/log/syslog
.
.
Jun  9 06:40:13 <myserver> proftpd[6107]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun  9 06:40:13 <myserver> proftpd[6107]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release.  Please use the DisplayChdir directive.
Jun  9 06:40:14 <myserver> proftpd[6110]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun  9 06:40:14 <myserver> proftpd[6110]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release.  Please use the DisplayChdir directive.
Jun  9 06:40:16 <myserver> proftpd[6113]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun  9 06:40:16 <myserver> proftpd[6113]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release.  Please use the DisplayChdir directive.
Jun  9 06:40:17 <myserver> proftpd[6117]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun  9 06:40:17 <myserver> proftpd[6117]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release.  Please use the DisplayChdir directive.
Jun  9 06:40:18 <myserver> proftpd[6120]: connect from 192.168.xx.xx (192.168.xx.xx)
Jun  9 06:40:18 <myserver> proftpd[6120]: warning: the DisplayFirstChdir directive is deprecated and will be removed in a future release.  Please use the DisplayChdir directive.
.
.

Code: Alles auswählen

# less /var/log/auth.log
.
.
Jun  8 06:51:37 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun  8 06:51:38 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun  8 06:51:38 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun  8 06:51:39 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun  8 06:51:39 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun  8 06:51:41 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun  8 06:51:41 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun  8 06:51:42 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun  8 06:51:42 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun  8 06:51:43 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
Jun  8 06:51:43 <myserver> proftpd: pam_unix(proftpd:session): session closed for user <cam-user>
Jun  8 06:51:44 <myserver> proftpd: pam_unix(proftpd:session): session opened for user <cam-user> by (uid=0)
.
.

Code: Alles auswählen

# less /var/log/proftpd/proftpd.log     
.
.
Jun 01 06:54:45 <myserver> proftpd[5728] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session opened.
Jun 01 06:54:45 <myserver> proftpd[5728] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): USER <cam-user>: Login successful.
Jun 01 06:54:45 <myserver> proftpd[5728] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session closed.
Jun 01 06:54:47 <myserver> proftpd[5731] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session opened.
Jun 01 06:54:47 <myserver> proftpd[5731] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): USER <cam-user>: Login successful.
Jun 01 06:54:47 <myserver> proftpd[5731] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session closed.
Jun 01 06:54:48 <myserver> proftpd[5734] <myserver>.TUX-NET (192.168.xx.xx[192.168.xx.xx]): FTP session opened.
.
.

Und last -i liefert auch nur den gleichen User

Code: Alles auswählen

# last -i 
.
.
<cam-user>      ftpd13605    192.168.xx.xx    Mon Jun  7 12:28 - 12:28  (00:00)
<cam-user>      ftpd13602    192.168.xx.xx    Mon Jun  7 12:28 - 12:28  (00:00)
<cam-user>      ftpd13598    192.168.xx.xx    Mon Jun  7 12:28 - 12:28  (00:00)
<cam-user>      ftpd13595    192.168.xx.xx    Mon Jun  7 12:28 - 12:28  (00:00)
<cam-user>      ftpd13592    192.168.xx.xx    Mon Jun  7 12:28 - 12:28  (00:00)

.
.

Das muss man doch "irgendwie" unterdrücken konnen

Michael

[rendegast]

syslog-ng oder rsyslogd,
gewöhnungsbedürftig aber vielseitig.

[VMbuseck]

Hallo !

Habe jetzt syslog-ng statt syslogd auf dem System. Mit 2 simplen Filtern bekommt man /var/log/auth.log und /var/log/syslog frei von den nervigen Einträgen:

Code: Alles auswählen

.
.
# all messages from the auth and authpriv facilities
filter f_auth { facility(auth, authpriv) and not match("<cam-user>"); };

# all messages except from the auth and authpriv facilities
filter f_syslog { not facility(auth, authpriv) and not match("192.168.xx.xx") and not match("DisplayFirstChdir"); };
.
.

Die Datei /var/log/wtmp wird aber immer noch "vollgemüllt". Kann da syslog-ng auch Abhilfe schaffen ?

Grüße Michael

[VMbuseck]

Hallo !

Ich will Euch die Lösung mit den Log-Einträgen von proftpd nicht vorenthalten.

Zunächst habe ich proftpd umkonfiguriert:

Code: Alles auswählen

.
.
TransferLog /var/log/proftpd/xferlog
## SystemLog   /var/log/proftpd/proftpd.log
SyslogFacility LOCAL7 notice
.
.

Dann muss man für syslog-ng das Facility 'local7' anlegen:

Code: Alles auswählen

.
.
destination df_proftpd { file("/var/log/proftpd/proftpd.log"); };
.
.
filter f_syslog { not facility(auth, authpriv, local7) and not match("192.168.xx.xx") and not match("DisplayFirstChdir"); };
.
.
filter f_proftpd { facility(local7) and not match("192.168.xx.xx") and not match("<cam-user>"); };  
.
.
filter f_messages {
        level(info,notice,warn)
            and not facility(auth,authpriv,cron,daemon,mail,news,local7);
};
.
.
log {
        source(s_all);
        filter(f_proftpd);
        destination(df_proftpd);
};
.
.

Damit sind alle unerwünschten Einträge weg.

Bleibt das Problem mit dem binären Log /var/log/wtmp ...

Grüße Michael

[Evox]

Wie wäre es wenn man einfach mal die Config ändert ! und schon ist eine Fehlermeldung weg dauer 10 sek.
Schon mal was gehört von man oder von Internet ? damit ist es über ein Browser möglich Webseiten aufrufen und zum Bsp direkt bei Propftpd sich Tipps holen

[VMbuseck]

Wie wäre es wenn man einfach mal die Config ändert ! und schon ist eine Fehlermeldung weg dauer 10 sek.
Schon mal was gehört von man oder von Internet ? damit ist es über ein Browser möglich Webseiten aufrufen und zum Bsp direkt bei Propftpd sich Tipps holen

Was willst Du mir mit Deinem geistreichen Betrag mitteilen ?

Fehlermeldung gibt es keine, sondern nur überflüssige Log-Einträge. Und alles auf /dev/null umzuleiten od. die Log ganz abschalten ist für mich keine akzeptable Lösung.

Michael