Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Wszystko ładnie sie zainstalowało i działa bez problemu, loguje wszystkie połączenia przez regułkę iptables :
iptables -t nat -A PREROUTING -i $LAN_IFACE -m state --state NEW -j ULOG
Ale jak to zawsze ja muszę sprawdzić jak to działa i czy działa, wiec odpaliłem to logowanie i przejrzałem parę stron po to żeby były jakie logi , potem sprawdziłem czy są w logach adresy ip stron odwiedzanych przeze mnie i NIE ma ich co jest?
2. Czy opłaca sie logować udp bo myślałem żeby dodać do powyższej regułki opcje -p tcp?
3. I jak to jest z baza danych bo pewnie rośnie ona bardzo szybko przy dużej ilości userow? Sa jakieś sposoby kompresji tej bazy?
Z tego co czytałem poprzednie posty na forum większość loguje przy pomocy ulog ale do plików.
Jak macie to rozwiązane ?
Offline
Ja loguje do bazy mysql (zastanawiam sie nad przejsciem na postgreSQL) i tak podam przykladowa konfiguracje
Logowanie
iptables -A FORWARD -m state --state NEW -j ULOG --ulog-nlgroup 1
/etc/ulogd.conf
][global] nlgroup=1 logfile="/var/log/ulogd.log" loglevel=6 rmem=131071 bufsize=150000 plugin="/usr/lib/ulogd/ulogd_BASE.so" plugin="/usr/lib/ulogd/ulogd_MYSQL.so" plugin="/usr/lib/ulogd/ulogd_PCAP.so" [MYSQL] table="ulog" pass="haslo" user="ulog" db="ulogd" host="localhost" [PCAP] file="/var/log/ulogd.pcap" sync=1
Dump szablonu bazy
CREATE TABLE `ulog` ( `id` int(10) unsigned NOT NULL auto_increment, `raw_mac` varchar(80) default NULL, `oob_time_sec` int(10) unsigned default NULL, `oob_time_usec` int(10) unsigned default NULL, `oob_prefix` varchar(32) default NULL, `oob_mark` int(10) unsigned default NULL, `oob_in` varchar(32) default NULL, `oob_out` varchar(32) default NULL, `ip_saddr` varchar(16) default NULL, `ip_daddr` varchar(16) default NULL, `ip_protocol` tinyint(3) unsigned default NULL, `ip_tos` tinyint(3) unsigned default NULL, `ip_ttl` tinyint(3) unsigned default NULL, `ip_totlen` smallint(5) unsigned default NULL, `ip_ihl` tinyint(3) unsigned default NULL, `ip_csum` smallint(5) unsigned default NULL, `ip_id` smallint(5) unsigned default NULL, `ip_fragoff` smallint(5) unsigned default NULL, `tcp_sport` smallint(5) unsigned default NULL, `tcp_dport` smallint(5) unsigned default NULL, `tcp_seq` int(10) unsigned default NULL, `tcp_ackseq` int(10) unsigned default NULL, `tcp_window` smallint(5) unsigned default NULL, `tcp_urg` tinyint(4) default NULL, `tcp_urgp` smallint(5) unsigned default NULL, `tcp_ack` tinyint(4) default NULL, `tcp_psh` tinyint(4) default NULL, `tcp_rst` tinyint(4) default NULL, `tcp_syn` tinyint(4) default NULL, `tcp_fin` tinyint(4) default NULL, `udp_sport` smallint(5) unsigned default NULL, `udp_dport` smallint(5) unsigned default NULL, `udp_len` smallint(5) unsigned default NULL, `icmp_type` tinyint(3) unsigned default NULL, `icmp_code` tinyint(3) unsigned default NULL, `icmp_echoid` smallint(5) unsigned default NULL, `icmp_echoseq` smallint(5) unsigned default NULL, `icmp_gateway` int(10) unsigned default NULL, `icmp_fragmtu` smallint(5) unsigned default NULL, `pwsniff_user` varchar(30) default NULL, `pwsniff_pass` varchar(30) default NULL, `ahesp_spi` int(10) unsigned default NULL, `timestamp` timestamp NOT NULL default CURRENT_TIMESTAMP on update CURRENT_TIMESTAMP, PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=latin2 AUTO_INCREMENT=1 ;
Dodatkowo ULOG nie zrzuca na bierzaco informacji do bazy tylko partjami jak zacechuje
Offline
moze ktos podac sposób instalacji nulog ,za chiny niemoge go zmusic do działania :(
Offline
a wlasnie nie napisalam o instalacji
instalujemy paczki wymagane przez ulog'a
apt-get install libmysqlclient14-dev g++ bison flex
a samego uloga kompilujemy
./configure --with-mysql=/usr/ --with-mysql-log-ip-as-string --prefix=/ --libdir=/usr/lib --bindir=/bin --sbindir=/sbin --sysconfdir=/etc --datadir=/usr/shere
Offline
ja zrzucam do pliku za pomocą flow-tools
co parę giga logów zrzut na płytkę i delete z dysku
kompresja standart tar.gz :)
Offline