Ou sont passés les fichers ? [Réglé]
Ou sont passés les fichers log present sur mandriva
Cauldron, la prochaine version de Mageia
Visiteur
le soucis que j'ai c'est que je ne trouve plus
/var/log/auth.log
/var/log/messages
présent sur mandriva
un exemple de mes scripts
Caché :
#!/bin/sh
BLACKLIST=/var/log/blacklist.log
#on commence par récupérer l'ip des mécréants a partir du log, et création de la blacklist
cat /var/log/auth.log | grep "Failed" | awk -F "from" '{ print $2 }' | awk '{ print $1 }' | sort -u >/var/log/blacklist.log
cat /var/log/auth.log | grep "Illegal" | awk -F "from" '{ print $2 }' | awk '{ print $1 }' | sort -u >>/var/log/blacklist.log
cat /var/log/messages | grep "Shorewall:net2fw
ROP:IN" | awk -F "SRC=" '{ print $2 }' | awk '{ print $1 }' | sort -u >>/var/log/blacklist.log
#pour chaque ip on compte combien il y a eu d'erreurs d'authentification
for i in `cat /var/log/blacklist.log` ; do
nberreurs1=`cat /var/log/auth.log | grep "Failed" | grep $i | wc -l`
nberreurs2=`cat /var/log/auth.log | grep "Illegal" | grep $i | wc -l`
nberreurs3=`cat /var/log/messages | grep "Shorewall:net2fwROP:IN" | grep $i | wc -l`
let nberreurs=$nberreurs1+$nberreurs2+$nberreurs3
#s'il y a eu plus de 3 erreurs et que l'ip n'est pas déjà blacklistée et bien on la blackliste !
if [ "$nberreurs" -ge "3" ]
then
if [ "`cat /var/log/blacklist.log | grep $i`" = "" ]
then
echo "Blocage de $i..."
iptables -A INPUT -t filter -s $i -j DROP
fi
fi
done
BLACKLIST=/var/log/blacklist.log
#on commence par récupérer l'ip des mécréants a partir du log, et création de la blacklist
cat /var/log/auth.log | grep "Failed" | awk -F "from" '{ print $2 }' | awk '{ print $1 }' | sort -u >/var/log/blacklist.log
cat /var/log/auth.log | grep "Illegal" | awk -F "from" '{ print $2 }' | awk '{ print $1 }' | sort -u >>/var/log/blacklist.log
cat /var/log/messages | grep "Shorewall:net2fw
ROP:IN" | awk -F "SRC=" '{ print $2 }' | awk '{ print $1 }' | sort -u >>/var/log/blacklist.log#pour chaque ip on compte combien il y a eu d'erreurs d'authentification
for i in `cat /var/log/blacklist.log` ; do
nberreurs1=`cat /var/log/auth.log | grep "Failed" | grep $i | wc -l`
nberreurs2=`cat /var/log/auth.log | grep "Illegal" | grep $i | wc -l`
nberreurs3=`cat /var/log/messages | grep "Shorewall:net2fw
ROP:IN" | grep $i | wc -l`let nberreurs=$nberreurs1+$nberreurs2+$nberreurs3
#s'il y a eu plus de 3 erreurs et que l'ip n'est pas déjà blacklistée et bien on la blackliste !
if [ "$nberreurs" -ge "3" ]
then
if [ "`cat /var/log/blacklist.log | grep $i`" = "" ]
then
echo "Blocage de $i..."
iptables -A INPUT -t filter -s $i -j DROP
fi
fi
done
Édité par Visiteur Le 02/03/2013 à 19h21
leuhmanu Membre non connecté
-
- Voir le profil du membre leuhmanu
- Inscrit le : 19/03/2011
- Groupes :
-
Équipe Mageia
-
Membre d'Honneur
Visiteur
leuhmanu :
Install rsyslog, sinon migre tes scripts vers journalctl, celui qu'on utilise désormais par défaut. (Les deux peuvent coexister.)
Salut
Cool merci
l'installation de rsyslog fait que je retrouve tout les fichiers log manquant
d'ailleurs il serait bien qu'il soit installé par defaut le package rsyslog, parce que même dans mcc consultation des journaux systèmes tu n'as rien tout est quasi grisé sans rsyslog
Édité par Visiteur Le 02/03/2013 à 20h18
leuhmanu Membre non connecté
-
- Voir le profil du membre leuhmanu
- Inscrit le : 19/03/2011
- Groupes :
-
Équipe Mageia
-
Membre d'Honneur
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie