- Mitglied seit
- 5 Dez 2005
- Beiträge
- 1,844
- Punkte für Reaktionen
- 0
- Punkte
- 36
Hallo Gemeinde,
ich habe auf meinem vServer seit langer Zeit logrotate mit einem kleinen Skript ausgestattet welches mir wöchentlich die IPs sendet welche einen erfolgreichen SSH Zugriff hatten.
Sinn : Wenn jemand sich erfolgreich einloggen kann, sollte man dies schnell sehen können - nach einer Woche ist es etwas spät - aber besser dann als nie..
- Option "mail" sorgt dafür das wir das ganze LOG erhalten - will man das nicht, einfach "mail" auskommentieren.
- Wer sysklogd restarten kann, der sollte es per postrotate tun
- Der Empfänger unserer kleinen Mail ist aktuell root, man könnte auch eine Variable abfragen...
Sollte dies jemand nützlich finden hat er die FETTEN Texte oben zu verändern und diesen Schnipsel in eine Datei : "auth.log" im Verzeichnis "/etc/logrotate.d/" abzulegen - also :
"/etc/logrotate.d/auth.log"
Fertig.
Wöchentliche eine Mail mit einem einfachen Text mit IP und eine zweite mit dem ausführlichen auth.log - das alte wird gezippt und nach x Malen gelöscht.
Liebe Grüsse! Stefan
ich habe auf meinem vServer seit langer Zeit logrotate mit einem kleinen Skript ausgestattet welches mir wöchentlich die IPs sendet welche einen erfolgreichen SSH Zugriff hatten.
Sinn : Wenn jemand sich erfolgreich einloggen kann, sollte man dies schnell sehen können - nach einer Woche ist es etwas spät - aber besser dann als nie..
Code:
/var/log/auth.log {
weekly
mail [B][email protected][/B]
mailfirst
missingok
rotate 7
sharedscripts
prerotate
cat /var/log/auth.log | grep -Eo '\b[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\b' | uniq -c | mail -s "IP AUTH Anmeldungen $HOSTNAME" [B]root[/B]
[B]# postrotate
# /etc/init.d/sysklogd restart[/B]
endscript
compress
notifempty
create 640 root root
}- Option "mail" sorgt dafür das wir das ganze LOG erhalten - will man das nicht, einfach "mail" auskommentieren.
- Wer sysklogd restarten kann, der sollte es per postrotate tun
- Der Empfänger unserer kleinen Mail ist aktuell root, man könnte auch eine Variable abfragen...
Sollte dies jemand nützlich finden hat er die FETTEN Texte oben zu verändern und diesen Schnipsel in eine Datei : "auth.log" im Verzeichnis "/etc/logrotate.d/" abzulegen - also :
"/etc/logrotate.d/auth.log"
Fertig.
Wöchentliche eine Mail mit einem einfachen Text mit IP und eine zweite mit dem ausführlichen auth.log - das alte wird gezippt und nach x Malen gelöscht.
Liebe Grüsse! Stefan
Zuletzt bearbeitet:
