Forum Debian Users Gang

redelek · 2011-07-27 08:42:56

Witam,

Muszę zrobić spis adresów IP łączących się do Apache Tomcat (8080 ) i java (1051 i 1052 ). Apache jest na porcie 8080 na iptables mam ustawione przekierowanie z 80 na 8080, java jest na standardowych portach.
Nie wiem czemu to ma służyć ale szef tak chciał. Dlatego chciałbym się was podpytać czym zrobić taki monitoring żeby mieć wynik

DATA_POLACZENIA;IP_ODKOGO;NA_JAKI_PORT

Na tym serwerze nie ma php, apache zwykłego ani baz danych , muszę to zrobić na zwykłym pliku , który będzie wysyłany na inną maszynę i tam obrabiany. Macie może pomysł jakiego programu użyć.Próbowałem tcpdump, ale jest za dużo zapytań i plik tcpdump jest bardzo duży.

Kod:

tcpdump -i eth0 'port 80'

tak robiłem

Będę bardzo zobowiązany za pomysły lub programiki. Koniecznie musi zapisywać do pliku.

Jacekalex · 2011-07-27 09:02:48

Iptables - moduły log i ulog, zainteresuj się programem ulogd, i drugim - nulog -fajny frontend do bazy mysql, do której ulogd zapisuje logi iptables.

Do tego w iptables masz wszystkie dopasowania, i prefixy logowania, także sam firewall do spólki z grepem też wystarczy xD
Sznurki: http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables/akcje#LOG

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-07-27 09:03:52)

redelek · 2011-07-27 11:32:36

super dzięki za szybką odpowiedź. Już sobie wszystko zainstalowałem testuję no prawie wszystko.
Mam problem z Nulog. Po wejściu na stronę pojawia mi się komunikat

Kod:

Nulog can't fetch data from backend. Please check your configuration file

Service execution error: (1054, "Unknown column 'timestamp' in 'where clause'")

Wygląda jak by w zapytaniu nie mógł znaleźć jakiejś kolumny ale a chiny nie wiem gdzie tego szukać.
Może masz jakiś pomysł ?

Jacekalex · 2011-07-27 13:04:11

Nie wiem, nulog mi potrzebny, jak dziura w moście.

Jak jest jakiś problem z wejściami, bezpieczeństwem, itp, to wolę porządnie zabezpieczyć to i tamto, niż potem studiować tygodniami logi.

Ostatnio edytowany przez Jacekalex (2011-07-27 19:27:44)

redelek · 2011-07-27 13:18:14

nie nie szef chce wiedzieć z jakich ip się podłączają, wszystko jest zabezpieczone.
ale ten ulog jest fajny:)

A może ktoś inny ma jakiś pomysł ?

Dzięki za pomoc

Jacekalex · 2011-07-27 19:32:27

Z jakich IP się łączą? logi serwera powinny wystarczyć, i dobry samochód, żeby osobiście te IP-ki objechać :xD

Geralnie do logowania ruchu www nic lepszego niż Awstats nie znajdziesz, generuje dość dokładne statystyki.

A ja np rozmaite javy i tomcaty puściłbym przez Lighttpd lub Nginxa, tam przefitrował wszystkie zapytania regexem, i tam też urządził centrum logowania na bazie Awstats.

Co do logowania fw, to jak coś jest w bazie, i choć trochę znasz jakiś język programowania, to da się to z bazy tak czy inaczej wyciągnąć.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-07-28 11:29:28)

Forum Debian Users Gang

Ogłoszenie

#1 2011-07-27 08:42:56

redelek - Członek DUG

Monitorowanie portów 80 1051 1052 i zapis do pliku

Kod:

#2 2011-07-27 09:02:48

Jacekalex - Podobno człowiek...;)

Re: Monitorowanie portów 80 1051 1052 i zapis do pliku

#3 2011-07-27 11:32:36

redelek - Członek DUG

Re: Monitorowanie portów 80 1051 1052 i zapis do pliku

Kod:

#4 2011-07-27 13:04:11

Jacekalex - Podobno człowiek...;)

Re: Monitorowanie portów 80 1051 1052 i zapis do pliku

#5 2011-07-27 13:18:14

redelek - Członek DUG

Re: Monitorowanie portów 80 1051 1052 i zapis do pliku

#6 2011-07-27 19:32:27

Jacekalex - Podobno człowiek...;)

Re: Monitorowanie portów 80 1051 1052 i zapis do pliku

Stopka forum