Tonenschwere /var/log/syslog, syslog.conf und Auswertung...
Hallo Leute,
Nachdem ich seit einer Woche einen Internet-Zugang (analog) habe,
bekomme ich masive Probleme mit NetBIOS attacken !!!
Sprich wenn ich mich einlogge sind es die erste stunde so 1.2 pro
Minute und wen ich dann so rund 3-5 Stunden im Internet bin bis
zu 20 Attacken pro Minute und das aus der ganzen Welt.
Habe auf meinem Router das Traffic logging per:
ipfwadm -I -a accept -W ppp0 -P tcp -o
ipfwadm -I -a accept -W ppp0 -P udp -o
ipfwadm -O -a accept -W ppp0 -P tcp -o
ipfwadm -O -a accept -W ppp0 -P udp -o
ipfwadm -I -a accept -W eth2 -P tcp -o
ipfwadm -I -a accept -W eth2 -P udp -o
ipfwadm -O -a accept -W eth2 -P tcp -o
ipfwadm -O -a accept -W eth2 -P udp -o
alktiviert, wobei eth2 mein 'privatenet' ist, in dem ein postgrsql
server mit unix_odbc lauert...
Meine Logdateien sind nur durch die ersten vier Eintraege auf über
5 MByte in nur 10 Stunden angewachsen, ohne das ich surfen war...
Sprich, ich habe die "idle 120" nicht erreicht und war gestern
permanent von 11:00 bis 21:30 online...
Da mein Router etwas gecrasht ist, als kein Speicherplatz mehr
vorhanden war, will ich nun die traffic auf einen externen syslog
server umleiten der auch gleichzeitig die Auswertung der Dateien
uebernehmen soll.
Dazu folgende fragen:
1) Stimmt es, das ich in der /etc/syslog.conf einfach nur
*.* syslog.mydomain.tld
eintragen muss, und alles andere kommentieren ?
2) Wenn ich mich richtig erinnere, muss ich auf den syslog-Server
die Option '-r' angeben. aber wo ???
3) Wie kann ich es machen, das syslog eine eigene logdatei fuer
die IP-Traffic verwendet ?
4) Werden dann auf dem syslog server die Daten ALLER ueberwachten
Computer in eine einzige Datei geschrieben oder wird fuer jeden
remote computer eine eigene Datei verwendet ? (configurierbar ?)
5) Welche tools gibt es fuer die Console und X um tonnen Logdateien
auszuwerten und zu verarbeiten ? Statistiken erstellen usw...
BITTE KEIN GNOME ODER KDE ZEUGS !!!
Danke für die Auskunft
Michelle
Reply to: