On Sat, Jul 21, 2007 at 11:40:01AM +0200, Marc Haber wrote: > Meine Argumente hast Du ja praktischerweise weggeschnitten. Deswegen > nochmal: Ja, weil ich deine Argumente für eigenes Logging nicht anzweifle. Ich sehe nicht den Sinn darin, eigenes Logging zu betreiben UND das Debian-eigene Logging-System laufen zu haben. Und dazu hattest du doch um Meinungen gebeten, oder hab ich dich falsch verstanden? Ich schreib aber trotzdem mal was, weil du's so schön sortiert hast: > (1) > Ich schätze es, wenn ich alle Ereignisse auf dem System in _einer_ > Datei sehe, weil ich die auch mal in einem less +F in einer Shell > mitlaufen lassen kann und es viel leichter fällt, unterschiedliche > Ereignisse miteinander in Relation zu setzen als wen die Logeinträge > auf zehn Dateien verteilt sind. Das versteh ich, auch wenn ich immer genug im Syslog hatte, aber das ist ja anwendungsabhängig. > (2) > Wenn ich auf einem System ein paar hundert Megabytes an Logs habe, die > jeden Tag einen anderen Dateinamen kriegen, landen sie jeden Tag neu > im inkrementellen Backup. Wenn dieselben paar hundert Megabytes an > Logs Dateinamen der Marke syslog.yyyymmdd.gz haben, landen sie einmal > im inkrementellen Backup und danach nie wieder. I see, aber wenn du das Debian-eigene Logging zusätzlich nutzt, wird das Argument hinfällig, oder nicht? > (3) > Wenn ich auf einem System ein paar hundert Logfiles liegen habe, die > jeden Tag einen neuen Dateinamen bekommen, brauche ich aufwendige > Ausnahmen in der aide-Konfiguration, wenn ich nicht alle diese Dateien > jeden Tag als "changed" for die Füße geworfen bekommen will. Diese > Ausnahmeregeln treffen typischerweise mehr als die wirklich > existierenden Dateien, so dass ich vermutlich eine von einem Angreifer > als /var/log/syslog/syslog.8765.gz hingeworfene Datei nicht im > aide-Log zu sehen bekomme. Ebenso, oder nicht? > Ich denke, dass ich nun meine Motivation für eine "abweichende" > Syslog-Konfiguration hinreichend dargelegt habe. Hast Du noch Fragen? Wie gesagt, daran hab ich nicht gezweifelt, nur am Doppel-Logging, wenn ich es mal so nennen darf... Oder hab ich dich vollständig falsch verstanden? Hauke
Attachment:
signature.asc
Description: Digital signature