/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
[Linux] At logge al trafik løbende?
Fra : Steen Suder


Dato : 14-12-05 18:42

Jeg savner et "best practice"-forslag til hvordan man samler
trafikinformation for al trafik, der løber igennem et givent netkort.

Jeg skal bruge afsender og modtager-IP/port samt tidspunkt. Evt. også
"flag" som SYN, RST, ACK etc.

Det skal køre altid (som i døgnet rundt til faciliteten ikke ønskes
længere) og plads er der i princippet nok af.

Tcpdump og tethereal understøtter at skrive til filer fortløbende, men
er det /måden/ at gøre det på?

Nogen gode forslag ellers?

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

 
 
Jacob Bunk Nielsen (14-12-2005)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 14-12-05 18:50

Steen Suder <sfs_news_spam@suder.dk> writes:

> Jeg savner et "best practice"-forslag til hvordan man samler
> trafikinformation for al trafik, der løber igennem et givent netkort.

Hvad med at bruge iptables' log target? Så vidt jeg kan forstå det du
skriver, så har du ikke brug for payload, men blot nogle informationer
fra headerne.

--
Jacob - www.bunk.cc
Is there life before breakfast?

Steen Suder (14-12-2005)
Kommentar
Fra : Steen Suder


Dato : 14-12-05 19:21

Jacob Bunk Nielsen wrote:

> Steen Suder <sfs_news_spam@suder.dk> writes:
>
>> Jeg savner et "best practice"-forslag til hvordan man samler
>> trafikinformation for al trafik, der løber igennem et givent netkort.
>
> Hvad med at bruge iptables' log target? Så vidt jeg kan forstå det du
> skriver, så har du ikke brug for payload, men blot nogle informationer
> fra headerne.

Det har jeg også overvejet, men så skal jeg lave noget mekanik til at
håndtere rotering af log-filer mv.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Jesper Krogh (14-12-2005)
Kommentar
Fra : Jesper Krogh


Dato : 14-12-05 20:15

I dk.edb.system.unix, skrev Steen Suder:
> Jacob Bunk Nielsen wrote:
> > Steen Suder <sfs_news_spam@suder.dk> writes:
> >
> >> Jeg savner et "best practice"-forslag til hvordan man samler
> >> trafikinformation for al trafik, der løber igennem et givent netkort.
> >
> > Hvad med at bruge iptables' log target? Så vidt jeg kan forstå det du
> > skriver, så har du ikke brug for payload, men blot nogle informationer
> > fra headerne.
>
> Det har jeg også overvejet, men så skal jeg lave noget mekanik til at
> håndtere rotering af log-filer mv.

Du kan bruge ULOG som target og logge til en SQL-database.

Jesper

--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk


Claus Alboege (14-12-2005)
Kommentar
Fra : Claus Alboege


Dato : 14-12-05 20:54

Hej,

Jesper Krogh <jesper@krogh.cc> writes:
> I dk.edb.system.unix, skrev Steen Suder:
>> Jacob Bunk Nielsen wrote:
>> > Steen Suder <sfs_news_spam@suder.dk> writes:
>> >
>> >> Jeg savner et "best practice"-forslag til hvordan man samler
>> >> trafikinformation for al trafik, der løber igennem et givent netkort.
>> >
>> > Hvad med at bruge iptables' log target? Så vidt jeg kan forstå det du
>> > skriver, så har du ikke brug for payload, men blot nogle informationer
>> > fra headerne.
>>
>> Det har jeg også overvejet, men så skal jeg lave noget mekanik til at
>> håndtere rotering af log-filer mv.
>
> Du kan bruge ULOG som target og logge til en SQL-database.

Men ULOG får man også muligheden for at logge dele af eller hele
payload, hvis der nu skulle være brug for det. Se evt følgende side for
eksempler:

http://www.stearns.org/doc/iptables-ulog.current.html


/Claus A

Steen Suder (14-12-2005)
Kommentar
Fra : Steen Suder


Dato : 14-12-05 21:32

Jesper Krogh wrote:

<KLIP>

> Du kan bruge ULOG som target og logge til en SQL-database.

ULOG er nice og jeg har set på det tidligere.
Dog er SQL-support ikke på tale her.
Hvis "nogen" skulle have interesse i de opsamlede data... ja; så er de
opsamlet og de må så selv søge i dem.
Jeg vil blot nøjes med en stak filer af en given størrelse, som så
ligger på en dertil indrettet disk.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Jacob Sparre Anderse~ (15-12-2005)
Kommentar
Fra : Jacob Sparre Anderse~


Dato : 15-12-05 14:22

Steen Suder skrev:

> Det har jeg også overvejet, men så skal jeg lave noget mekanik til
> at håndtere rotering af log-filer mv.

Er det et problem? Logrotate klarer det for dig med en minimal
opsætningsfil. Eller er Logrotates rotering af logfiler ikke god nok
til dit formål?

Jacob
--
Der findes kun 10 slags mennesker: Dem der kender til binære
tal og dem der ikke kender til binære tal.

Anders Bystrup (15-12-2005)
Kommentar
Fra : Anders Bystrup


Dato : 15-12-05 19:08

Som sagt så er det meget nemt med ulog :)

I iptables for at logge alle nye forbindelser:
$ipt -t filter -A FORWARD -i eth1 -p ! icmp -m state --state NEW -j ULOG
--ulog-prefix "NEW: "

Specificer logfilen i ulogd.conf:
logfile="/var/log/ulog/ulogd.log"

Sæt logrotate op (her gemmer den daglige filer i et år -
/etc/logrotate.d/ulogd)
/var/log/ulog/*.log {
missingok
daily
rotate 365
sharedscripts
olddir /var/log/ulog/old
compress
delaycompress
create 640 root adm
postrotate
/etc/init.d/ulogd restart
endscript
}

Og det er det - jeg har nu en fil for hvert døgn med alle nye forb. med
source ip, dest. ip, sport, dport osv...

/Anders

Steen Suder wrote:
> Jeg savner et "best practice"-forslag til hvordan man samler
> trafikinformation for al trafik, der løber igennem et givent netkort.
>
> Jeg skal bruge afsender og modtager-IP/port samt tidspunkt. Evt. også
> "flag" som SYN, RST, ACK etc.
>
> Det skal køre altid (som i døgnet rundt til faciliteten ikke ønskes
> længere) og plads er der i princippet nok af.
>
> Tcpdump og tethereal understøtter at skrive til filer fortløbende, men
> er det /måden/ at gøre det på?
>
> Nogen gode forslag ellers?
>

Steen Suder (15-12-2005)
Kommentar
Fra : Steen Suder


Dato : 15-12-05 23:28

Anders Bystrup wrote:

> Som sagt så er det meget nemt med ulog :)

Tak for løsningen!

Den vil jeg gerne give en øl for; hvor bor du?

NB
Min email virker.

<KLIP>

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408927
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste