Re: Zeiten in der täglichen Zusammenfassung

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Wed, 7 May 2008 10:35:50 +0200 (CEST)

Matthias Fechner wrote:
> FreeBSD schickt ja einmal am Tag eine Zusammenfassung das kompletten
> Systems.
> Es gibt da einen Abschnitt: kernel log messages.
> Allerdings sind bei den Einträgen die Uhrzeiten nicht dabei, kann man
> das irgendwo einschalten?

Nein, das ist einfach nur ein Ausschnitt des Kernel-
Buffers (dmesg), und dort gibt es keine Timestamps.

In der Regel werden die Kernel-Messages aber auch
per syslog in /var/log/messages geloggt, und syslog
fügt immer einen Timestamp hinzu. Wenn Du also die
genaue Zeit eines Eintrags wissen musst, schaust Du
am besten dort nach.

Man sollte auch berücksichtigen, dass der Kernel-
Message-Buffer ein Ringpuffer mit begrenzter Größe
ist, der im Laufe eines Tages durchaus einmal über-
laufen kann (und ein Angreifer kann dies sogar sehr
einfach gezielt provozieren). Es ist daher nicht
garantiert, dass Du im daily-security-output die
vollständigen Meldungen hast; vielmehr sollte es
lediglich als Anhaltspunkt angesehen werden, und
vor allem sollte es nicht für sicherheitsrelevantes
Überwachen verwendet werden. Das kann trügerisch
sein.

Aus genau diesem Grund habe ich die dmesg-Ausgabe
auf einigen meiner Rechner ganz ausgeschaltet (per
periodic.conf), und lasse stattdessen die Logfiles
(u.a. /var/log/messages) mit Logsurfer überwachen
(/usr/ports/misc/logsurfer). Das hat außerdem den
Vorteil, dass man bei einem ungewöhnlichen Eintrag
sofort informiert wird (wenn man will), und nicht
erst beim Lesen der Mails am nächsten Tag.

Davon abgesehen: Wer liest schon jeden Tag seine
ganzen daily- und security-outputs durch, vor allem
wenn man mehrere (bzw. viele) Rechner hat, und in
der Regel immer das gleiche drinsteht? Dafür ist
mir meine Zeit zu schade, daher überlasse ich das
doch lieber einer Software, die das schneller und
verlässlicher erledigt.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"Documentation is like sex; when it's good, it's very, very good,
and when it's bad, it's better than nothing."
        -- Dick Brandon
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 07 May 2008 - 10:35:56 CEST

search this site