ok dzieki, do tej pory używałem ulogd+nulog, ale jak dla mnie to za duży
kombain.
Maciej Chromik pisze:
Witam
Interfejs eth1 jest lanem.
Logi czytamy za pomocą tcpdump i np grep-em np:
tcpdump -qn -r tcpdump03_09_08.log
gdzie tcpdump03_09_08.log to plik z logami
Jak chcesz zobaczyć kto np łączył się z adresem IP 209.85.135.91 to wpisujesz:
tcpdump -qn -r tcpdump03_09_08.log | grep 209.85.135.91
reading from file tcpdump03_09_08.log, link-type EN10MB (Ethernet)
22:48:58.280357 IP 192.168.1.132.47246 > 209.85.135.91.80: tcp 0
22:48:58.303926 IP 209.85.135.91.80 > 192.168.1.132.47246: tcp 0
22:55:41.353900 IP 192.168.1.132.43929 > 209.85.135.91.80: tcp 0
22:55:41.377525 IP 209.85.135.91.80 > 192.168.1.132.43929: tcp 0
23:14:28.045101 IP 192.168.1.132.40280 > 209.85.135.91.80: tcp 0
23:14:28.068373 IP 209.85.135.91.80 > 192.168.1.132.40280: tcp 0
23:25:40.548066 IP 192.168.1.132.37706 > 209.85.135.91.80: tcp 0
23:25:40.571089 IP 209.85.135.91.80 > 192.168.1.132.37706: tcp 0
23:58:17.741061 IP 192.168.1.132.40134 > 209.85.135.91.80: tcp 0
23:58:17.764264 IP 209.85.135.91.80 > 192.168.1.132.40134: tcp 0
00:33:10.769447 IP 192.168.1.132.42234 > 209.85.135.91.80: tcp 0
00:33:10.792234 IP 209.85.135.91.80 > 192.168.1.132.42234: tcp 0
01:03:10.803510 IP 192.168.1.132.44284 > 209.85.135.91.80: tcp 0
01:03:10.825870 IP 209.85.135.91.80 > 192.168.1.132.44284: tcp 0
01:33:10.840684 IP 192.168.1.132.44685 > 209.85.135.91.80: tcp 0
01:33:10.862894 IP 209.85.135.91.80 > 192.168.1.132.44685: tcp 0
01:54:35.573716 IP 192.168.1.132.52704 > 209.85.135.91.80: tcp 0
01:54:35.597684 IP 209.85.135.91.80 > 192.168.1.132.52704: tcp 0
02:15:23.343273 IP 192.168.1.132.35775 > 209.85.135.91.80: tcp 0
02:15:23.365705 IP 209.85.135.91.80 > 192.168.1.132.35775: tcp 0
W tym przypadku jest to lokalny adres 192.168.1.132, godzinę masz w pierwszej
kolumnie a nr portu jest dopisany po kropce do adresu IP (209.85.135.91.80) to
chyba powinno zadowolić organy ścigania :)
Pozdrawiam
On Tue, 07 Oct 2008 08:25:36 +0200
Dariusz Michałek <[EMAIL PROTECTED]> wrote:
Tak wałsnie o to mi chodzi. Dwa pytania eth1 to lan czy wan?, drugie
jakim programem analizować przydład .
pozdrawiam
Maciej Chromik pisze:
Domyślam się że chodzi ci o logowanie ruchu dla organów ścigania w przypadku
gdy udostępniasz internet poprzez natowanie adresów IP. Ja do tego celu używam
takiego oto skryptu (napisałem go do swoich celów nie jest w nim postawiony
nacisk na przenośność)
#!/bin/bash
killall tcpdump
sleep 3
echo "działam"
katalog=`date '+%m%y'`
if [ ! -d "/home/LOGOWANIE_RUCHU/tcpdump/$katalog" ]
then
echo "nie ma katalogu więc go tworzę"
mkdir /home/LOGOWANIE_RUCHU/tcpdump/$katalog
fi
nazwaPliku=tcpdump`date '+%d'`_`date '+%m'`_`date '+%y'`.log
tcpdump -w /home/LOGOWANIE_RUCHU/tcpdump/$katalog/$nazwaPliku -qni eth1 'tcp[tcpflags]
& (tcp-syn) != 0' &
Skrypt co miesiąc tworzy nowy katalog.
Skrypt generuje codziennie nowy plik z logami programu tcpdump (plik jest w
formacie czyelnym dla wszystkich dobrych programów do analizowania sieci).
W zapisanych logach znajduje się pakiet nawiącujący połączenie tcp i pakiet
potwierdzający nawiązanie połączenia tcp co skutkuje bardzo niewielkimi
rozmarami plików z logami jakieś 400MB na dobę z sieci 500 użytkowników.
Pozdrawiam
On Mon, 6 Oct 2008 09:45:43 +0200
"Mariusz Sielicki" <[EMAIL PROTECTED]> wrote:
W dniu 6 października 2008 08:15 użytkownik Dariusz Michałek
<[EMAIL PROTECTED]> napisał:
Witam!
Jak rozwiązujecie problem logowania połączeń ?
A co dokladniej chcesz logowac?
Polaczenia na poziomie pakietow? (iptables -j LOG ?)
Polaczenia na poziomie jakiejs konkretnej aplikacji?
Pozdrawiam
Mariusz Sielicki
pozdrawiam
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
