Logfiles richtig lesen

suschi · 8 Aug. 2007

Hallo Leutchen,

wie kann ich Logfiles richtig lesen ?

Gibt es eine kleiner Erklärung irgendwo dazu ?

Welches sind die wichtigsten Log´s. ??

Möchte halt grob schauen was auf meiner Kiste dann so passiert, z.B. unerwünschte Mail verschicken über meinen smtp oder ähnliches...

Gruß
suschi

pft · 9 Aug. 2007

dazu gibt es die ganz speziellen, hochkomplexen tools 'cd', 'ls','less'

(meinetwegen auch konqueror wenn Du es mit der Konsole nicht so hast)
Ansonsten Augen auf und Hirn einschalten :lol:

stöber damit unter /var/log herum und du wirst sehen, dass das alles gar nicht so kompliziert ist.

die Datei Mail hat die Meldungen zu Mailprogrammen wie Postfix oder was du installiert hast
'fetchmail' (bei mir so eingerichtet) hat die ausgaben von fetchmail
unter '/var/log/samba/' findest Du Logdateien zu ... jetzt rate mal.

und alles was nicht in eine separate Datei geschrieben wird landet i.d.R. in /var/log/messages

ach, ja der boot Vorgang ist in 'boot.msg' dokumentiert - hätte mannicht gedacht oder?

schau dir das mal an und melde dich wenn du echte Fragen hast

admine · 9 Aug. 2007

Und man kann in diesen Log-Files recht gut "grep"en nach "Error" oder "Warning"

suschi · 9 Aug. 2007

hey,

kannst du mir erklären was diese kürzel bedeuten ?

Kann ich z.B. sehen ob eine datei hochgeladen wurde ?
oder wie und wo kann ich sehen das mein server evtl. als spam maschine benutzt wird.??

kleine tipps reichen mir, den rest versuch ich mir durchzulesen und zu grübeln...nur wenn ich net mehr weiter weiss melde ich mich wbei euch :roll:

gruß
suschi

pft · 10 Aug. 2007

kannst du mir erklären was diese kürzel bedeuten ?

welche Kürzel ???

Kann ich z.B. sehen ob eine datei hochgeladen wurde ?

vermutlich gar nicht, es sei denn dein ftp (falls Du damit hochlädst) ist so geschwätzig konfiguriert das er das ins log schreibt. Meist schreibt man nur Warnugnen nd Fehler ins log

oder wie und wo kann ich sehen das mein server evtl. als spam maschine benutzt wird.??

auch schwer ausser daran dass Du plötzlich heftig unbekannten Mailverkehr hast. Das hängt aber davon ab inwieweit Du Spam von normalen Traffic unterscheiden kannst. Oder Du erzeugst dir durch geschickte Auswertungen der log files eine Art Mailstatisitk (versandte mails pro Std.); abe das geht eben nicht so auf dem direkten Weg, so es nicht schon Tools dafür gibt - kann sein, kenn ich aber nicht

Leviathan · 10 Aug. 2007

Ich benutze viel tail. Beispiel

tail -f /var/log/messages

Zeigt die letzten 15 Zeilen der Datei an und das im "Followmode". D.h. aktuelle neue Einträge werden mit angezeigt.

Gruß Dominik

suschi · 16 Aug. 2007

Hey Jungs,

danke für die ganzen Antworten. Konnte beruflich länger net online gehen.

Hey PFT:
Die Kürzel die ich meinte waren z.B.
74.6.25.119 - - [18/Jul/2007:22:01:57 +0200] "GET /viewtopic.php?t=8&highlight

Und was bedeutet : grep im Logfile ?

Das mit dem Mailserver : Ich benutze qmail. Wo kann ich denn ersehen im Log wie der Versand und Empfang der Mail geloggt wird.???

Habe in meinen Message Log folgenden Eintrag :

Jul 24 23:26:13 h1238183 sshd[12255]: Invalid user index from 125.206.111.147
Jul 24 23:26:13 hxxxxxx sshd[12255]: reverse mapping checking getaddrinfo for fsc-netcom.biz failed - POSSIBLE BREAKIN ATTEMPT!

Was bedeutet das ? Bekomme ich immer den Versuch das jemand auf dem SSH Port versucht reinzukommen ?

Macht es Sinn den FTP mit zu loggen? Wenn ja wie stelle ich das ein ?

Wenn eine Datei über PHP hochgeladen wird wie kann ich das im Log erkennen ?

Ich weiss Jungs sehr viele Fragen

Gruß
suschi

[/quote]

b3ll3roph0n · 16 Aug. 2007

Ich lese hier immer "Server", "GET" (=> WebServer), "sshd", "FTP", "qmail", etc.

Ich hoffe doch es handelt sich nicht um einen Root-Server ... :roll:

Falls doch, solltest du dies alles bereits wissen und nicht jetzt erst anfangen zu lernen.

Lesen: http://www.root-und-kein-plan.ath.cx/

Mögliche Folgen:
http://www.serverzeit.de/FreeBSD/admins-haften/
Torrentflux und benötigte Zusatzpakete per Konsole installie

In jedem Fall solltest du dich umgehend mit den Linux-Grundlagen beschäftigen, denn ein Server ist weder Spielzeug noch Lernobjekt.

Lesen:
Linux - Wegweiser zur Installation & Konfiguration
SelfLinux
LinuxFibel
http://www.bin-bash.de

suschi schrieb:
Code:

Jul 24 23:26:13 h1238183 sshd[12255]: Invalid user index from 125.206.111.147 Jul 24 23:26:13 hxxxxxx sshd[12255]: reverse mapping checking getaddrinfo for fsc-netcom.biz failed - POSSIBLE BREAKIN ATTEMPT!

Was bedeutet das ? Bekomme ich immer den Versuch das jemand auf dem SSH Port versucht reinzukommen ?

Genau das bedeutet es.
Ist allerdings (leider) ganz normales Hintergrundrauschen im Netz.
Wer seinen sshd anständig konfiguriert hat braucht sich i.d.R. deshalb keine Sorgen machen ... 8)

PS: Einfach mal ein paar Tage offline sein, ist eine ganz blöde Idee als Serveradmin ... denn: Wer kümmert sich in der Zwischenzeit um den Server?

pft · 16 Aug. 2007

Die Kürzel die ich meinte waren z.B.
74.6.25.119 - - [18/Jul/2007:22:01:57 +0200] "GET /viewtopic.php?t=8&highlight

Das dürfte ein log-Eintrag des squid sein, oder so was ähnliches ? wäre vielleicht hilfreich wenn Du etwas mehr Angaben machen könntest. "GET" ist ein ganz normaler http befehl den dein Browser abschickt, wenn Du z.B. hier im Forum auf einen Eintag klickst. (Schau Dir mal die URLs an dann kommt dir vielleicht etwas bekannt vor.
Der Rest sagt Dir wann das war und an welche IP Adresse der anfordernde Client hat.

Und was bedeutet : grep im Logfile ?

Meinst Du die Frage ernst? grep ist ein Unix kommando. Wenn DU das nicht kennst frage ich mich ernsthaft ob Du nicht erst eine ganze Menge anderer Dinge lesen sooltest bevor Du solche Fragen stellst. Nicht das es verboten wäre, aber du wirst die Antworten nicht verstehen. Ds gleich gilt, wenn Du nicht auf der Kommandozeile arbeiten willst oder kannst. Es mag Voolgafische Tools dafür geben - ich kenne keines und halte auch nichts davon.
Aber weil gestern Feiertag war:
grep sucht in ascii dateien nach Mustern. Willst Du also wissen welche IP nummern in deneim Netz angefordert wurden Gibst Du ein "

Code:

grep dhcpd /var/log/messages

"; ebenso

Code:

grep login /var/log/messages

Das mit dem Mailserver : Ich benutze qmail. Wo kann ich denn ersehen im Log wie der Versand und Empfang der Mail geloggt wird.???

Ich verwende qmail nicht. Aber schau doch mal in /var/log/mail oder var/log/messages. Evtl. mit "grep qmail ..."

Bzw. sieh dch in /var/log um ob es ein spezielles logfile für qmail gibt

suschi · 16 Aug. 2007

hey pft,

ja ich denke es wäre besser den vserver abzugeben in Händen die sich besser damit auskennen

Ich gehöre wohl auch zu denen die meinen einen Server zu brauchen weil man etwas mit der Konsol umgehen kann und dann doch scheitern.
Klar ist es gut Admin Rechte zu haben aber dann sollte man sich besser drum kümmern können.

Zudem fehlt mir immer mehr die Zeit mich intensiver um den Server zu kümmern obwohl ich in den Hinsicht mehr wie wissensdurstig bin. Nur so gehts net mehr....

Eine abschließende Frage an euch ohne jetzt Werbung machen zu wollen :
Welcher Hoster ist okay von Service etc. für einen solchen Fall wie mich ?
Also einen Server der vom Hoster gewartet wird ?

Danke nochmal an alle die hier gepostet haben.

Gruß
suschi

Logfiles richtig lesen

suschi

Newbie

pft

Advanced Hacker

admine

Ultimate Guru

suschi

Newbie

pft

Advanced Hacker

Leviathan

Hacker

suschi

Newbie

b3ll3roph0n

Guru

pft

Advanced Hacker

suschi

Newbie