Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2007-12-17 16:11:41

  HunteR - DUG

HunteR
DUG
Skąd: ?
Zarejestrowany: 2006-03-14

ulogd + mysql + nulog

Wszystko ładnie sie zainstalowało i działa bez problemu, loguje wszystkie połączenia przez regułkę iptables :

Kod:

iptables -t nat -A PREROUTING -i $LAN_IFACE -m state --state NEW -j ULOG

Ale jak to zawsze ja muszę sprawdzić jak to działa i czy działa, wiec odpaliłem to logowanie i przejrzałem parę stron  po to żeby były jakie logi , potem sprawdziłem czy są w logach adresy ip stron odwiedzanych przeze mnie i NIE ma ich co jest?

2. Czy opłaca sie logować udp bo myślałem żeby dodać do powyższej regułki opcje -p tcp?
3. I jak to jest z baza danych bo pewnie rośnie ona bardzo szybko przy dużej ilości userow? Sa jakieś sposoby kompresji tej bazy?

Z tego co czytałem poprzednie posty na forum większość loguje przy pomocy ulog ale do plików.

Jak macie to rozwiązane ?

...

Offline

 

#2  2007-12-17 18:25:12

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: ulogd + mysql + nulog

Ja loguje do bazy mysql (zastanawiam sie nad przejsciem na postgreSQL) i tak podam przykladowa konfiguracje

Logowanie

Kod:

iptables -A FORWARD -m state --state NEW -j ULOG --ulog-nlgroup 1

/etc/ulogd.conf

Kod:

][global]
nlgroup=1
logfile="/var/log/ulogd.log"
loglevel=6
rmem=131071
bufsize=150000
plugin="/usr/lib/ulogd/ulogd_BASE.so"
plugin="/usr/lib/ulogd/ulogd_MYSQL.so"
plugin="/usr/lib/ulogd/ulogd_PCAP.so"
[MYSQL]
table="ulog"
pass="haslo"
user="ulog"
db="ulogd"
host="localhost"
[PCAP]
file="/var/log/ulogd.pcap"
sync=1

Dump szablonu bazy

Kod:

CREATE TABLE `ulog` (
  `id` int(10) unsigned NOT NULL auto_increment,
  `raw_mac` varchar(80) default NULL,
  `oob_time_sec` int(10) unsigned default NULL,
  `oob_time_usec` int(10) unsigned default NULL,
  `oob_prefix` varchar(32) default NULL,
  `oob_mark` int(10) unsigned default NULL,
  `oob_in` varchar(32) default NULL,
  `oob_out` varchar(32) default NULL,
  `ip_saddr` varchar(16) default NULL,
  `ip_daddr` varchar(16) default NULL,
  `ip_protocol` tinyint(3) unsigned default NULL,
  `ip_tos` tinyint(3) unsigned default NULL,
  `ip_ttl` tinyint(3) unsigned default NULL,
  `ip_totlen` smallint(5) unsigned default NULL,
  `ip_ihl` tinyint(3) unsigned default NULL,
  `ip_csum` smallint(5) unsigned default NULL,
  `ip_id` smallint(5) unsigned default NULL,
  `ip_fragoff` smallint(5) unsigned default NULL,
  `tcp_sport` smallint(5) unsigned default NULL,
  `tcp_dport` smallint(5) unsigned default NULL,
  `tcp_seq` int(10) unsigned default NULL,
  `tcp_ackseq` int(10) unsigned default NULL,
  `tcp_window` smallint(5) unsigned default NULL,
  `tcp_urg` tinyint(4) default NULL,
  `tcp_urgp` smallint(5) unsigned default NULL,
  `tcp_ack` tinyint(4) default NULL,
  `tcp_psh` tinyint(4) default NULL,
  `tcp_rst` tinyint(4) default NULL,
  `tcp_syn` tinyint(4) default NULL,
  `tcp_fin` tinyint(4) default NULL,
  `udp_sport` smallint(5) unsigned default NULL,
  `udp_dport` smallint(5) unsigned default NULL,
  `udp_len` smallint(5) unsigned default NULL,
  `icmp_type` tinyint(3) unsigned default NULL,
  `icmp_code` tinyint(3) unsigned default NULL,
  `icmp_echoid` smallint(5) unsigned default NULL,
  `icmp_echoseq` smallint(5) unsigned default NULL,
  `icmp_gateway` int(10) unsigned default NULL,
  `icmp_fragmtu` smallint(5) unsigned default NULL,
  `pwsniff_user` varchar(30) default NULL,
  `pwsniff_pass` varchar(30) default NULL,
  `ahesp_spi` int(10) unsigned default NULL,
  `timestamp` timestamp NOT NULL default CURRENT_TIMESTAMP on update CURRENT_TIMESTAMP,
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin2 AUTO_INCREMENT=1 ;

Dodatkowo ULOG nie zrzuca na bierzaco informacji do bazy tylko partjami jak zacechuje

DUG

Offline

 

#3  2007-12-17 20:22:12

  szewczyk - Stary wyjadacz :P

szewczyk
Stary wyjadacz :P
Zarejestrowany: 2006-12-03

Re: ulogd + mysql + nulog

moze ktos podac sposób instalacji nulog ,za chiny niemoge go zmusic do działania :(

Offline

 

#4  2007-12-17 21:04:58

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: ulogd + mysql + nulog

a wlasnie nie napisalam o instalacji

instalujemy paczki wymagane przez ulog'a

Kod:

apt-get install libmysqlclient14-dev g++ bison flex

a samego uloga kompilujemy

Kod:

./configure --with-mysql=/usr/ --with-mysql-log-ip-as-string --prefix=/ --libdir=/usr/lib --bindir=/bin --sbindir=/sbin --sysconfdir=/etc  --datadir=/usr/shere
DUG

Offline

 

#5  2007-12-20 20:59:13

  bobycob - Członek z Ramienia

bobycob
Członek z Ramienia
Skąd: Wrocław
Zarejestrowany: 2007-08-15

Re: ulogd + mysql + nulog

ja zrzucam do pliku za pomocą flow-tools
co parę giga logów zrzut na płytkę i delete z dysku
kompresja standart tar.gz :)

Offline

 

#6  2007-12-20 21:22:49

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: ulogd + mysql + nulog

bede musiala oblukac tego flow-tools

DUG

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)