标签: logwatch

今天我在我的日志文件中注意到了这个条目：

Connection attempts using mod_proxy:
175.180.113.83 -> 66.135.210.61:80: 1 Time(s)

这是我通常在日志中看不到的内容。我对此有几个问题：

1. 这实际上意味着什么？这是否意味着有人试图通过代理连接访问我的服务器？
2. 第一个IP地址是什么？这是原始IP吗？
3. 第二个IP地址是什么？这是他们用作代理的服务器吗？
4. 如果我对 2 和 3 所说的都是正确的，那么 Logwatch（或 Linux 中的任何解决方案）如何检测原始 IP？我认为代理应该有助于匿名并使其完全屏蔽原始 IP 地址？
5. 这是什么意思？这些请求通常来自寻找额外安全漏洞的机器人吗？通过代理访问我的服务器的漏洞是什么？

编辑：看起来 66.135.210.61 属于 eBay，另一个 IP 属于台湾的某个人。这是否意味着有人通过 eBay 访问了我的服务器？eBay 的安全性不应该足以防止此类事情发生吗？

谢谢

任何人都可以分享如何在 Linux RHEL 5 机器中启用和禁用日志监视功能的过程。

提前致谢。

我只是在分析我的 logwatch 日志，我看到以下条目：

 SMTP SESSION, MESSAGE, OR RECIPIENT ERRORS
 ------------------------------------------

 Mail Rejected:
       Total:  6

 Mail Deferred:
       Total:  229

 Total SMTP Session, Message, and Recipient Errors handled by Sendmail:  235

 ---------------------- sendmail End -------------------------

我只将 sendmail 用于 logwatch，那么是什么导致了所有这些错误，尤其是延迟电子邮件。

以下内容取自我将要继承的生产 LAMP Web 服务器的日志记录。它是一台运行 CentOS 5 和 RAID 1 的专用戴尔服务器，跨越两个 1TB 驱动器。

除了配置 Apache、PHP 和 MySQL（我对 LAMP 中的 L 不太了解）之外，我几乎没有任何经验，所以我不确定如何处理以下内容：

WARNING:  Kernel Errors Present
    EXT3-fs warning: mounting fs with errors, running e2fsck ...:  1 Time(s)

 1 Time(s): EXT3 FS on sdb1, internal journal
 1 Time(s): EXT3 FS on sdc1, internal journal
 1 Time(s): EXT3-fs warning: maximal mount count reached, running e2fsck is recommended
 2 Time(s): EXT3-fs: mounted filesystem with ordered data mode.
 2 Time(s): kjournald starting.  Commit interval 5 seconds …

Ubuntu 服务器 9.10

嗨，大家好，

有人可以向我指出一些有关如何让 logwatch 监视自定义日志文件的说明吗？我有一个 Dropbox 解决方案，可以将上传/下载记录到日志文件中，并希望将其包含在 logwatch 的更新中。

我尝试在 /usr/share/logwatch/default.conf/logfiles/ 中创建自定义 conf 文件，但它似乎不起作用...

有时在我的每日日志观察报告中，我注意到 httpd 下有一个部分是“尝试使用已知的黑客攻击......”，另一部分是关于有多少站点探测了服务器。我对这些部分有几个问题：

1. 是 apache 还是 logwatch 接收和报告已知的黑客攻击？哪个程序实际上知道它是一个已知的黑客？这些程序之一是否使用某个位置或参考点来列出已知攻击？
2. logwatch 是否能够报告攻击是否成功，或者我是否需要一个单独的软件来获取它？
3. 当 logwatch 报告 x 数量的站点探测服务器时，这到底是什么意思？是端口扫描吗？漏洞扫描？指纹？是 apache 向日志文件报告这一点，还是 logwatch 正在分析日志文件并弄清楚？

我已经在我的 (Debian) 系统上设置了 Logwatch。邮寄等运作良好。

我想要的是每天获得一次系统的每日报告

和;

在发生时立即接收任何高级别（失败的登录尝试、攻击 - 如果可能 - 等）。

我需要修改和修改哪些设置？在使用系统方面，我是一个新手，我在 Google 上进行了研究，但结果只引导我到目前为止。

谢谢你。

CentOS 5 | Apache 2.2.3 | 日志观察 7.3

大家好，

我在 CentOS 机器上运行 Apache 并托管多个 VirtualHosts。这些虚拟主机中的每一个都有一个单独的访问日志。例如：

/var/log/httpd/example.foo.com-access_log /var/log/httpd/downloads.foo.com-access_log

主站点正在将日志写入 /var/log/httpd/access_log。

LogWatch 似乎只检查主日志文件。我怎么能告诉它也包含其他文件？

我认为 /usr/share/logwatch/scripts/services/http 中的某处可能有一个指针，但我没有在那里看到它。

有什么想法吗？

-M

我有一个运行 Logwatch 的 CentOS 5.6 系统。

如果我对此主机执行安全扫描 (Nessus)，它会在 Logwatch 输出中产生不必要的噪音。我想定期从内部 IP 和外部 IP 运行这些安全扫描，而不会对安全扫描产生不必要的干扰。

由于我知道这些主机的 IP，是否可以阻止此输出显示在 Logwatch 输出中？

 --------------------- pam_unix Begin ------------------------

 sshd:
   Authentication Failures:
      root (scan1.example.org): 1 Time(s)
      unknown (scan1.example.org): 1 Time(s)
   Invalid Users:
      Unknown Account: 1 Time(s)

--------------------- SSHD Begin ------------------------


 Failed logins from:
   192.168.100.1 (scan1.example.org): 1 time

 Illegal users from:
   X.Y.123.123 (scan2.example.org): 1 time

 **Unmatched Entries**
 pam_succeed_if(sshd:auth): error retrieving information about user admin : 1 time(s)
 fatal: Write failed: Connection reset by peer : 1 time(s)