LOG Dateien auswerten

Moin Leute!

Ich würde gern ein Skript schreiben, welches LOG Dateien auswertet und mich ggf. per email warnt,
wenn von einer IP mehrfach versucht wurde sich anzumelden,
dass dann aber in die Büx ging, weil falscher benutzername - Passwort (Also Angreifer von Aussen)
Ich finde und finde leider nicht die entsprechende Log-Datei.

Bei der Datei:
/etc/logs/event.log
handelt es sich um eine Binärdatei. :shock:

Ich würde gern die Datei sehen, in der die Login Fail - Events gespeichert sind,
wie sie auf der Konfig-Weboberfläche des Nas erscheinen - also z.B.:

2009-11-15    20:18:48    webpop    196.216.66.166    ---    SSH    ---    Login Fail
 2009-11-15    20:18:46    ident    196.216.66.166    ---    SSH    ---    Login Fail

Any Idea?

Dann gehts weiter das Skripst so zu schreiben, dass die entsprechende IP
gleich in in die Deny-Liste kommt (wo wäre die zu finden?) :-/

Dank vorab, Gruß Ralph

Zitat von "Terz"

Das ist schon richtig.
Aus dem Stehgreif: Auf dem NAS läuft ein eigener Q Log Irgendwas... Mit dem Kommando write_log können auch Events für den QNAP abgewandelten "art Syslog" parameter übergeben werden.

erstmal Dank für die schnelle Antwort!
hmm, das schnall ich jetzt mal so halb, wenn ich aber:

[~] # write_log -helpSegmentation fault[~] #

macht mich das nicht wirklich glücklich - ich vermute mal dass write_log mich
hier auch gar nicht weiter bringen würde ... ein "read_log" gibt es leider nicht... :roll:

Zitat von "Terz"

Iss praktisch eine "CPU" sparende Abwandlung davon.
Für ein ausführliches Logging könnt Ihr aber Syslog via ipkg (Optware) installieren.
Darüber gab es mal was im Forum von Jody, soweit ich mich erinnere. Einfach mal nach suchen.

OK, vermutlich ist:
http://forum.qnapclub.de/viewt…90&p=9597&hilit=log#p9597
gemeint. Aber so richtig glücklisch geht der Thread ja auch nicht aus ...
Insbesondere möchte ich ja gar keinen CPU fressenderen Prozess anschmeissen,
wenn es schon einen Q-Syslog gibt
Allerdings kann ich gar nicht finden, wo der qsyslogd gestartet werden soll:

grep syslog /etc/rcS.d/*
 grep syslog /etc/rcS_init.d/*
 ps | grep syslog

liefert nix Die Systemprotokolle über das Webinterface sind aber nicht leer ...
Ach, ich seh grad, dass der Prozess qLogEngined offenbar
fürs Logging verantwortlich ist, der ist von der Systemauslatung schon mal unauffällig

Ich versuchs nochmal konkreter:
Gibt es eine Möglichkeit an die Systemverbindungsprotokolle
ranzukommen? :-/ :-/ :-/

Zitat von "Terz"

Das war jetzt mal ohne auf dem NAS nach zu gucken.

Das ist echt beachtlich! :thumb:

Gruss aus Gö, Ralph

Hi all!
Jetzt versteh ich gar nix mehr ..... :shock:
1. offenbar gibt es einen lauffähigen syslog:

[~] # which syslogd/sbin/syslogd

Dachte, das lässt sich nur über ipkg nachinstalieren,
aber dann wär der ja wohl in /opt/bin/
Wenn ich den laufen lasse, wird nach Default
/var/log/messages
geschrieben.
2. fehlerhafte Logins provoziert:
werden protokolliert - z.B.:

Feb  1 23:59:09 NAS1 auth.info sshd[1154]: input_userauth_request: invalid user test

Soweit OK, aber dann habe ich in

less/var/log/messages

entdeckt:

Feb  1 23:59:30 NAS1 auth.info sshd[1169]: WARNING: /usr/etc/moduli does not exist, using fixed modulusFeb  1 23:59:35 NAS1 auth.info sshd[1169]: Accepted password for admin from 192.168.1.22 port 39400 ssh2Feb  1 23:59:36 NAS1 auth.info sshd[1170]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory

Fragen hierzu:
- wozu wird denn /usr/etc/moduli benötigt?
- Warum beim sshd port 39400 ?? Login geht doch per default auf Port 22 ...
(OK, das ist jetzt vllt. auch Beides nicht so wichtig)
Nach:

touch /var/log/lastlog

- ist der Eintrag im LOG weg, aber /var/log/lastlog ist eine Binärdatei - wer schreibt die denn? :shock: :shock:
der sshd ? (hätt mich ja über eine Textdatei gefreut ...)
BTW wo liegt den /var/log/messages - doch wohl nicht Speicher ?

Zum Schreiben des Skriptes, das mich warnt, hätt ich jetzt eine Lösung :? ;
leider habe ich jetzt mehr Fragen als vorher ..... :-/

Gute Nacht ... sagt latent verwirrt - Ralph aus Gö

Zitat von "Eraser-EMC2-"

Hallo,

was ich vermute bzw. gesehen habe, ist die "/etc/logs/event.log" eine sql-Datei.

Hmmm, kann ich denn dann irgendwie in (m)eine Datenbank einlesen?

WARNING: write_log is deprecated and only for backward compatibility.Use log_tool instead.

OK - log_tool hatte ich auch schon entdeckt - konnte aber mit

log_tool --help

nicht wirklich was anfangen. Ich hätte erwartet, dass man mit der Option
-q, --query Query the data of event logs.
die Logdatei (welche? /etc/logs/event.log ) irgendwie auslesen kann - aber wie???

[~] # log_tool -q /etc/logs/event.log

ist zufrieden für sich, sagt aber nix ...... :-/

Also falls das hier alles nicht weiter geht:
mit dem syslogd bin ich schon sehr zufrieden und stelle mir
vor mit grep und sendmail meine anfängliche Warnemails senden zu können.

Zitat von "Eraser-EMC2-"

versuche es mal hiermit:

Code

log_tool -q -s 1 -o 10 -v -e 0

Ja, das scheint's zu sein :thumb:
Noch etwas mit den Optionen rumspielen und offenbar komme ich
an alle gewünschten Infos ran. :mrgreen:
ein | grep nach "Trallala" und das sollte es tun.
Ich hatte mir die Optionen auch angesehen, aber nicht so recht verstanden,
mich auch nicht getraut da viel rumzuspielen, um nicht einen so wichtigen Dienst,
wie die Systemprotokolle komplett zu verbiegen. :shock:
Auf den zweiten Blick ist's offenbar so, dass alle Optionen, die nach dem
-q
genannt werden, sich auf die query-Abfrage beziehen.
Super, dann kann ich den syslogd ja wieder beenden.

:thumb: Nochmals vielen Dank an ALLE
Gruß aus dem verschneiten Gö

Hmmh das war's wohl doch noch nicht ganz ...
Offenbar komme ich so nur an die Ereignisprotokolle ran .. z.B.:

[~] # log_tool -q    -v | grep -i ssh659,1,2009-03-31,00:04:13,System,127.0.0.1,localhost,Re-launch process [sshd].,

:shock:
Auch grep -i nach Log in und anderen Stichworten liefert nicht das gewünschte Ergebnis
In

log_tool --help

ist auch immer nur von Eventlog die Rede ...

Besonders interessiert bin ich ja aber an den Systemverbindungsprotokollen. :-/
Noch Jemand ne Idee?
(Schwer vorstellbar, dass es offenbar mehrere Mechanismen,
oder aber zumindest mehrere Dateien dafür gibt ...)
Ich hätt ja mal vermutet, dass in /etc/logs/event.log und in )/etc/logs/conn.log die Verbindungen,
zweifel aber dran, denn:

less /etc/logs/conn.log | grep -i ssh

oder auch grep nach Login liefert nix (nach Bestätigung, dass man die Binärdatei sehen will).
Aber selbst wenn dem so wäre, wie aus dieser Datei die passenden Einträge
vernünftig die Daten da rausholen ????

Gruß Ralph - und gute Nacht

Zitat von "Eraser-EMC2-"

Ich hatte gerade noch mal nachgeschaut, da ich mir dachte, so etwas muß es doch auch für die Verbindungen geben.
Einmal gesucht und sofort gefunden:

Code

conn_log_tool -q -s 1 -o 10 -v -e 0

Ja, Danke- das isses - zwar nicht im Klartext, was erklärt,
warum verschiedene grep's in /etc/log/conn.log nichts lieferten, aber
damit lässt sich wohl arbeiten.
z.B.:

351606,1,2010-02-01,23:59:09,test,192.168.1.22,---,---,7,9,

ist ein nicht erfolgreicher Login mit dem user "test", den es natürlich nicht gibt
OK!

Allerdings frage ich mich, warum ich nicht selber drauf gekommen bin ...
apropos liefert auf der Box ja leider nix ... Wie kann man hier die Zusammenhänge aufspüren?

DANK an alle nochmal

Tschüss
Ralph