RE: désactiver la « compression » de syslog
Le (on) vendredi 18 janvier 2008 14:30, DUFRESNE, Mathias (STERIA) a écrit (wrote) : > Effectivement syslog-ng et syslog sont incomparable :) > Oki, je ne conaissais pas syslog-ng. Ça l'air bien en effet. Je n'utiliserai sans doute pas les fonctionnalités trop avancés, mais les options de tri ont l'air sympa, par exemple pour répondre à une autre question que je me posais récemment, à savoir le manque de cible ULOG pour ip6tables. Merci pour l'info. Manuel. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: désactiver la « compression » de syslog
DUFRESNE, Mathias (STERIA) wrote: Salut, Effectivement syslog-ng et syslog sont incomparable :) ET si vous souhaitez pouvoir jouer avec vos logs et que comme moi vous ne comprennez rien à syslog, jetez un œil sur la nouvelle génération, un régal, tout simplement. n'exagérons rien :) Lorsqu'on veut des fonctionnalités "avancées", on a souvent besoin d'un parseur. et là, on peut très bien choisir de laisser syslog tranquillement écrire dans ses fichiers, et lancer le parseur sur ces fichiers là. ça a l'avantage de ne pas perturber syslog, donc aucun risque de le ralentir ou d'amplifier les conséquences d'une attaque ou d'une verbosité élevée. C'est comme toujours: il faut mettre les choses en balance et voir ce qu'on préfère selon les besoins. D'autre part, syslog-ng n'est plus aussi libre qu'il l'était. je n'ai rien contre la décision de l'auteur: il faut bien qu'il vive. mais il n'aura rien contre moi si je fais un autre choix ;-p -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
RE: désactiver la « compression » de syslog
Salut, Effectivement syslog-ng et syslog sont incomparable :) ET si vous souhaitez pouvoir jouer avec vos logs et que comme moi vous ne comprennez rien à syslog, jetez un œil sur la nouvelle génération, un régal, tout simplement. ++ -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of JeremyJ Sent: jeudi 17 janvier 2008 14:39 To: debian-user-french@lists.debian.org Subject: Re: désactiver la « compression » de syslog mpg a écrit : > Bonjour, > > Quand il y a plusieurs lignes identiques sauf la date dans un log système, > ceci apparaît sous la forme suivante dans les logs : > > Jan 16 15:42:00 siegel last message repeated 2 times > > Ça a tendance à jeter un peu le trouble au niveau d'outils analysant les > logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette > fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce > sujet... > > Merci d'avance ! > > Manuel. > > Bonjour, Je me suis posé la même question que toi il y a quelques semaines. Je me suis renseigné, et j'ai vu qu'il fallait remplacer le syslog "de base" par syslog-ng. Un simple "aptitude install syslog-ng" suffit. Suite à ça, j'ai pu utiliser fail2ban sans problèmes ;-) ++ This mail has originated outside your organization, either from an external partner or the Global Internet. Keep this in mind if you answer this message. This e-mail is intended only for the above addressee. It may contain privileged information. If you are not the addressee you must not copy, distribute, disclose or use any of the information in it. If you have received it in error please delete it and immediately notify the sender. Security Notice: all e-mail, sent to or from this address, may be accessed by someone other than the recipient, for system management and security reasons. This access is controlled under Regulation of security reasons. This access is controlled under Regulation of Investigatory Powers Act 2000, Lawful Business Practises.
Re: désactiver la « compression » de syslog
mpg a écrit : Bonjour, Quand il y a plusieurs lignes identiques sauf la date dans un log système, ceci apparaît sous la forme suivante dans les logs : Jan 16 15:42:00 siegel last message repeated 2 times Ça a tendance à jeter un peu le trouble au niveau d'outils analysant les logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce sujet... Merci d'avance ! Manuel. Bonjour, Je me suis posé la même question que toi il y a quelques semaines. Je me suis renseigné, et j'ai vu qu'il fallait remplacer le syslog "de base" par syslog-ng. Un simple "aptitude install syslog-ng" suffit. Suite à ça, j'ai pu utiliser fail2ban sans problèmes ;-) ++
Re: désactiver la « compression » de syslog
Pierre Chifflier wrote: On Thu, Jan 17, 2008 at 09:13:40AM +0100, Stephane Bortzmeyer wrote: On Wed, Jan 16, 2008 at 04:00:01PM +0100, mpg <[EMAIL PROTECTED]> wrote a message of 25 lines which said: Jan 16 15:42:00 siegel last message repeated 2 times [...] Y a-t-il moyen de désactiver cette fonctionnalité ? Pour des raisons de sécurité, je le déconseillerai fortement. N'importe quel processus (voire n'importe quelle machine si vous avez activé l'accès à distance) peut envoyer des messages à syslog sans authentification. Sans cette fonction de « compression », vous seriez vulnérable à une attaque DoS triviale (remplir votre disque dur avec des messages bidon). Cette protection est illusoire il est facile de faire la meme chose avec une commande du type logger "message avec un id different $RANDOM" voire faire un strings sur un gros fichier et en loguer un bout toutes les secondes/minutes/... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: désactiver la « compression » de syslog
On Wed, 16 Jan 2008 16:00:01 +0100, mpg <[EMAIL PROTECTED]> wrote: > Bonjour, Bonsoir, > Quand il y a plusieurs lignes identiques sauf la date dans un log > système, > ceci apparaît sous la forme suivante dans les logs : > > Jan 16 15:42:00 siegel last message repeated 2 times > > Ça a tendance à jeter un peu le trouble au niveau d'outils analysant les > logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette > fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce > sujet... Avec sysklogd sur notre bien aimé Debian, il semble que cela ne soit pas faisable. En regardant le code source, je ne vois rien non plus qui permettent de gérer cela, mais si quelqu'un peut confirmer. Il y a un rapport de bug à ce sujet à propos de fail2ban et la compression des logs, avec un patch fournit. Par contre, au niveau du changelog il ne semble pas qu'il ait été appliqué. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=440037 Je suis tombé sur cette man page :p! http://leaf.dragonflybsd.org/cgi/web-man?command=syslogd§ion=8 Il parlait d'une option "-c" pour désactiver la compression mais il semble qu'elle n'existe pas ou plus. :(! --- Franck Joncourt http://www.debian.org/ - http://smhteam.info/wiki/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
désactiver la « compression » de syslog
Bonjour, Quand il y a plusieurs lignes identiques sauf la date dans un log système, ceci apparaît sous la forme suivante dans les logs : Jan 16 15:42:00 siegel last message repeated 2 times Ça a tendance à jeter un peu le trouble au niveau d'outils analysant les logs (par exemple fail2ban). Y a-t-il moyen de désactiver cette fonctionnalité ? Je n'ai a priori rien trouvé dans syslog.conf à ce sujet... Merci d'avance ! Manuel. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]