SCP logging

[Christian Ordig]

On Wed, Feb 18, 2009 at 02:36:07PM +0100, David Schueler wrote:
> "Thomas Findeisen (npl at npl.de)" <npl at npl.de> wrote on 18.02.2009 13:00:04:
> 
> > Ein bissel oversized aber wenn der SSHD ansonsten keine großen
> > Aktivitäten hat welche das "Logfile" extrem vergrößern würden
> > kannt du den deamon mit strace laufen lassen. Das erzeugt aber
> > sehr schnell sehr große Ausgaben. Meine Idee wäre kurzzeitig
> > 2 SSDD laufen zu lassen, den mit strace auf dem Standardport
> > und für dich zum (weiter-)arbeiten einen zweiten auf einem
> > anderen port ohne logging.
> > 
> > Ist aber nur ne Idee ;)
> > 
> > Grüße, Thomas
> 
> Nun, das scheint ein Ansatz zu sein. Evtl kann man das strace vorher noch 
> durch ein sed jagen um nicht benötigte Ausgaben zu strippen.
> Ich muss mal schauen ob sich das in halbwegs gänginger Weise Umsetzen 
> lässt.
strace ist schon ein netter Ansatz, allerdings etwas eleganter dürfte 
es mittels auditd bzw. auditctl gehen.

Wenn sich Aktivitäten auf ein bestimmtes Verzeichnis und dessen 
Unterverzeichnisse einschränken lassen, kann man sich recht einfach mit 
einem watch behelfen (auditctl -w /bla/fasel)

Weiterhin kann man recht gut nach bestimmten Syscalls bestimmter Nutzer 
und/oder Prozesse filtern ... beispielsweise wenn sich die Aktivitäten 
auf einzelne Nutzer eingrenzen lassen:

auditctl -a exit,always -S execve -F uid=mrevil

gibt erstmal einen recht groben Überblick wohin Dateien bei einem 
scp-Aufruf geschrieben werden ... sicherlich kann man bessere Filter 
bauen wenn man nach den richtigen syscalls filtert ... open() ist 
übrigens keine sonderlich gute Idee ;)

Näheres dazu in man 8 auditctl.

Grüße.

-- 
Christian Ordig
Germany
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 187 bytes
Beschreibung: nicht verfügbar
URL         : http://www.tlug.de/pipermail/tlug_allgemein/attachments/20090218/a90df2d3/attachment.pgp