Liste aller Syslog-Meldungen?

392
M.Brbr

Ich möchte auf meinem Linux-Computer nach bestimmten Einträgen im Syslog filtern können. Ich möchte zum Beispiel in der Lage sein, nach Fehlschlägen oder Erfolg der Benutzerauthentifizierung oder nach Zugriff auf vertrauliche Informationen usw. zu filtern.

Ich glaube, ich, indem sie eine Liste aller möglichen Syslog - Nachrichten beginnen müssen, wie diese, aber für Syslog - Meldungen.

1
Warum? Dies scheint ein [X-> Y] (https://en.wikipedia.org/wiki/XY_problem) Problem zu sein, bei dem Sie uns nicht wirklich gesagt haben, was Sie zu tun versuchen. So erhalten Sie nie eine passende Antwort. djsmiley2k vor 5 Jahren 0
Ich möchte meine Syslog-Meldungen filtern, um nur die zu erhalten, die mich interessieren. Ich möchte zum Beispiel die Syslog-Meldungen erhalten, die besagen, dass eine Benutzerauthentifizierung fehlgeschlagen ist oder erfolgreich ist. M.Brbr vor 5 Jahren 0
Grep ist in diesem Fall dein Freund. Sie können * nur * nur nach Nachrichten auf Auth-Ebene filtern. Die Syslog-Ebenen sind jedoch darauf angewiesen, dass Anwendungen auf den richtigen Ebenen protokollieren, oder Sie verfügen über Filter, um sicherzustellen, dass sich alles auf den richtigen Ebenen befindet. Ich persönlich würde einfach das Syslog anrufen und dann grep für das, was ich brauche: `grep / var / log / messages 'eingeloggt'` djsmiley2k vor 5 Jahren 1
Denken Sie daran, dass einige der von Ihnen angeforderten Ereignisse etwas unscharf sind. Authentifizierungsfehler werden von PAM protokolliert - es sei denn, sie verwenden kein PAM (Kennwortanmeldungen, nicht jedoch SSH-Publickey-Anmeldungen). Administratoraktionen sind so vielfältig und vielfältig, dass es praktisch unmöglich ist, für alle ein einziges "Ereignis" zu haben. grawity vor 5 Jahren 0

1 Antwort auf die Frage

2
grawity

Eine solche Liste ist nicht möglich, da im Gegensatz zu Windows-Ereignissen (die eine statische Liste mit IDs, eine bestimmte Vorlage für jede ID und nur Parameter enthalten) syslog-Meldungen einfach Freiformtext sind.

Um mögliche Meldungen auch für ein einzelnes Programm syslog()aufzulisten, müsste der Quellcode nach Aufrufen durchsucht werden, die indirekt über benutzerdefinierte Funktionen durch verschiedene Bibliotheken (z. B. log4net) erfolgen könnten, oder syslog überhaupt nicht verwenden (z. B. verwenden verschiedene Programme systemd-journal-Funktionen). . Dies erfordert spezifisches Wissen über den Quellcode der einzelnen Programme und kann nicht einfach auf der gesamten Linux-Distribution automatisiert werden. Dies müsste der Fall sein, da neue Versionen unterschiedliche Meldungen enthalten können.

(Das systemd-Journal verfügt über optionale Meldungs-IDs und "Katalog" -Dateien mit Beschreibungen und Übersetzungen. Es ist immer noch aktiv und die Verwendung ist selten.)

Tatsächlich decken sogar die Windows-Ereignismeldungslisten nur die Standard-Betriebssystemkomponenten und möglicherweise Dinge wie MS Office ab. Sie können möglicherweise nicht alle Nachrichten abdecken, die von Drittanbietersoftware protokolliert werden, wodurch möglicherweise eigene Kataloge und Ereignis-IDs installiert oder sogar Freiformnachrichten gesendet werden.

Kann ich jedoch eine solche Liste für "grundlegende" Ereignisse wie Authentifizierung oder Anmeldung bei einer neuen Sitzung erhalten? M.Brbr vor 5 Jahren 0
@ M.Brbr: Vielleicht möchten Sie einen Blick auf `Logwatch` werfen, ein beliebter Syslog-Analysator, der vordefinierte Muster für solche Ereignisse enthält. grawity vor 5 Jahren 0
Mit der Windows-Ereignisanzeige können Anwendungen dem Wörterbuch und den Vorlagen hinzugefügt werden, sodass Anwendungen ihre Protokolle in dieselbe Liste schreiben können und wie Standardereignisse gefiltert und abgefragt werden können. In der Ereignisanzeige werden gelegentlich Fehlermeldungen angezeigt, wenn eine Anwendung einen Fehler gemeldet hat, das Betriebssystem jedoch keinen Kontext oder Verweis auf den Fehler hat. Im Grunde hat die Anwendungsinstallation dem Betriebssystem die Informationen nicht gegeben zur Interpretation der Anwendungsfehler erforderlich, die Anwendung versucht jedoch weiterhin, Fehler an das Betriebssystem zu melden. music2myear vor 5 Jahren 0

Verwandte Probleme