Forum Debian Users Gang

Jacekalex · 2010-03-02 06:36:54

Witam

Zainstalowałem ulogd z suportem mysql, i nie bardzo rozumiem - jak go namówić do większej dokładności, bo na razie loguje jakieś 30% informacji.
Tu jest przykład: http://wklej.org/id/288810/
W bazie nie lądują nawet informacje o portach docelowych.
mój konfig:

Kod:

# Example configuration for ulogd
# $Id: ulogd.conf.in 5267 2005-02-19 21:33:43Z laforge $
#

[global]
######################################################################
# GLOBAL OPTIONS
######################################################################

# netlink multicast group (the same as the iptables --ulog-nlgroup param)
nlgroup=7

# logfile for status messages
logfile="/var/log/ulog/ulogd.log"

# loglevel: debug(1), info(3), notice(5), error(7) or fatal(8)
loglevel=1

# socket receive buffer size (should be at least the size of the
# in-kernel buffer (ipt_ULOG.o 'nlbufsiz' parameter)
rmem=131071

# libipulog/ulogd receive buffer size, should be > rmem
bufsize=150000

######################################################################
# PLUGIN OPTIONS
######################################################################

# We have to configure and load all the plugins we want to use

# general rules:
# 1. load the plugins _first_ from the global section
# 2. options for each plugin in seperate section below


#
# ulogd_BASE.so - interpreter plugin for basic IPv4 header fields
#           you will always need this
plugin="/usr/lib/ulogd/ulogd_BASE.so"


# output plugins. 
plugin="/usr/lib/ulogd/ulogd_LOGEMU.so"
plugin="/usr/lib/ulogd/ulogd_OPRINT.so"
plugin="/usr/lib/ulogd/ulogd_MYSQL.so"
#plugin="/usr/lib/ulogd/ulogd_PGSQL.so"
#plugin="/usr/lib/ulogd/ulogd_SQLITE3.so"
#plugin="/usr/lib/ulogd/ulogd_PCAP.so"


[LOGEMU]
file="/var/log/ulog/syslogemu.log"
sync=1

[OPRINT]
file="/var/log/ulog/pktlog.log"

[MYSQL]
table="ulog"
pass="HASŁO"
user="ulog"
db="ulog"
host="localhost"

Logowanie taką regułą (powinna logować komplet informacji):

Kod:

ULOG       all  --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 64 nlgroup 7 prefix `ulogd-działa' queue_threshold 25

Natomiast nulog pokazuje tylko liczbę wpisów do bazy, i żadnych inych informacji (instalowany z paczki nulog_2.0.dfsg.1-1_all.deb)
Wersja ulogd: ulogd_1.24-2.1_i386.deb -Debian Lenny
ulogd-mysql_1.24-2.1_i386.deb -j.w.

Firewall zawsze w logach podaje porty i szczegóły pakietu.
A w bazie ani śladu tych informacji.

Czy Macie jakieś sugestie?

Pozdrawiam
;)

Ostatnio edytowany przez Jacekalex (2010-03-02 06:38:03)

kaju007 · 2010-03-02 17:09:09

Nie wiem czy zauważyłeś że bo dołożeniu nuloga, ulog nie zapisuje ci adresu IP "ip_daddr " tylko dziwne liczby.
Testowałem to i nulog zmienia wartość tabeli nie pamiętam już na jakie i nigdy nie udało mi się tego połączyć razem i nie dostałem nigdzie żadnych informacji.

milyges · 2010-03-02 17:51:38

Kaju007: To są adresy IP ale zapisane jako liczba, np.
1407589149 = 0x53E61B1D = 83.230.27.29

kaju007 · 2010-03-02 17:58:21

To ok ale nulog nie pokazywał mi adresów tylko te liczby więc jak zmienia wartości tabeli to powinien przy wyświetlaniu pokazać prawidłowy adres sorry ale tyle siedziałem i nigdzie nie otrzymałem pomocy wiec wykasowałem to

BiExi · 2010-03-02 23:37:01

O ile pamietam o nulog w php byl pisany i mozesz lekko w nim grzebnac by przeliczal przy uzyciu funkcji long2ip
$ip = long2ip(1407589149);
Nie wiem jak skompilowany jest ulogd w debianie ale mozna sprubowac zmienic typ rekordu w bazie (baza dla ip pisanych w 4 oktetach powinna byc gdzies z dokuetacja)

lopezpb · 2010-03-03 07:16:30

BiExi napisał(-a):
O ile pamietam o nulog w php byl pisany i mozesz lekko w nim grzebnac by przeliczal przy uzyciu funkcji long2ip
$ip = long2ip(1407589149);
Nie wiem jak skompilowany jest ulogd w debianie ale mozna sprubowac zmienic typ rekordu w bazie (baza dla ip pisanych w 4 oktetach powinna byc gdzies z dokuetacja)

Po co się męczyć?

skoro mysql posiada funkcję która automatycznie zamienia INTip na IP i odwrotnie:

IP na INTip

Kod:

INSERT INTO `tabela` VALUES (INET_ATON('192.168.0.1'));

INTip na IP:

Kod:

SELECT INET_NTOA(`pole`) FROM `tabela`;

tutaj więcej informacji:
http://marines.jogger.pl/2007/01/07/jak-przechowac- … danych-mysql/

BiExi · 2010-03-03 19:36:37

He i jeszcze lepiej

kaju007 · 2010-03-03 21:37:17

Nie nie da rady zmienić tabeli bo wtedy nulog nic nie pokaże tylko błąd :) testowałem juz to

Jacekalex · 2010-03-08 18:21:26

tabele można zmienić w zapytaniu na wyjściu - w funkcji select, ale to wymaga grzebania w kodzie nuloga, lub inny frontend dla uloga.

Natomiast, szukanie w kodzie istniejącego programu, nie wiem, czy latwiej nie byłoby naskrobać skryptu w php czy perlu- który wyciągnie cot rzeba z bazy i wyświetli.
Jak się troche podciągne w perlu, to spróbuję pokombinować ze skryptem cgi do tego.

A na razie sie nie pali (przynajmniej u mnie).

Ponadto kiedyś się bawilem bashem, i skombinowłem coś takiego: kiedy przychodzilo trzecie wywolanie z określonego IP (trik z ipt_recent) informacja pojawiała się w logach - z tamtąd tail -f | awk ... | xargs skrypt
a w skrypcie stało:

Kod:

#!/bin/bash
srcsip=$1
dport=$2
time=$3
.....
mysql -u user phasło -e "insert into.....

i nawet to diabelstwo działało, z tym że nie umiałem otworzyć stałego polączenia z bazą, a logowanie co chwila -to nie było to co trzeba.

Potem próbowałem zczytywać logi grepem do bazy - też chodziło.
Może kiedyś coś takiego spłodzę :))) (tamten skrypt się gdzieś zapodział)
Mam jedno pytanie: jak odkodować znaczniki czasowe w bazie uloga?

Ale na razie mam problem z perlem i wyrażeniami regularnymi, i to problem, wobec którego ludzie mają dużo do napisania, ale nikt sensownej i konkretnej odpowiedzi (przynajmiej na razie).

Pozdrawiam

Ostatnio edytowany przez Jacekalex (2010-03-09 08:07:32)

milyges · 2010-03-08 20:25:29

Szklana kula mówi że to timestamp jest... użyj date ;)

lopezpb · 2010-03-08 20:36:50

Jacekalex napisał(-a):
Mam jedno pytanie: jak odkodować znaczniki czasowe w bazie uloga?

bash:

Kod:

date -d @1256571985

php:

Kod:

$unix_time = 1256571985;

echo date("Y-m-d H:i:s",$unix_time)

Ostatnio edytowany przez lopezpb (2010-03-08 20:37:22)

Jacekalex · 2010-03-09 08:10:38

Dzieki za info pokombinuję z tymi informacjami, i chyba z nuloga przep;rowadzę się na skrypciarstwo :))))

Bo widzę, ze te programy logujące są doskonałe, jak działają prawidłowo i bez błędów - czyli co najmniej - nie zawsze :))))

Pozdrawiam
;)

Forum Debian Users Gang

Ogłoszenie

#1 2010-03-02 06:36:54

Jacekalex - Podobno człowiek...;)

Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

Kod:

Kod:

#2 2010-03-02 17:09:09

kaju007 - Użytkownik

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

#3 2010-03-02 17:51:38

milyges - inż.

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

#4 2010-03-02 17:58:21

kaju007 - Użytkownik

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

#5 2010-03-02 23:37:01

BiExi - matka przelozona

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

#6 2010-03-03 07:16:30

lopezpb - Użytkownik

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

BiExi napisał(-a):

Kod:

Kod:

#7 2010-03-03 19:36:37

BiExi - matka przelozona

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

#8 2010-03-03 21:37:17

kaju007 - Użytkownik

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

#9 2010-03-08 18:21:26

Jacekalex - Podobno człowiek...;)

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

Kod:

#10 2010-03-08 20:25:29

milyges - inż.

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

#11 2010-03-08 20:36:50

lopezpb - Użytkownik

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

Jacekalex napisał(-a):

Kod:

Kod:

#12 2010-03-09 08:10:38

Jacekalex - Podobno człowiek...;)

Re: Konfiguracja ulog i nulog -jak zwiększyć ilość informacji?

Stopka forum