-
Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.
IPs loggen in /var/log/messages
- Ersteller lexter
- Erstellt am
hallo,
wie loggen sich die User denn ein?
Über ssh?
Das wird normalerweise in der /var/log/messages mit geloggt.
an sonsten kannst Du den Log-Level in /etc/syslog.conf einstellen.
BT
wie loggen sich die User denn ein?
Über ssh?
Das wird normalerweise in der /var/log/messages mit geloggt.
an sonsten kannst Du den Log-Level in /etc/syslog.conf einstellen.
BT
Hi,
danke für Deine Antwort. Die User loggen sich über ssh ein - der Account dient allerdings nur zum Transportieren von Dateien (er heisst filetransfer), wird von mehreren Usern benutzt. In der /var/log/messages steht zwar drinnen von wann bis wann der User filetransfer seine Session offengehabt hat aber nicht die IP von der aus die Session geöffnet wurde. Die möchte ich aber sehen weil ich nur so unterscheiden kann wer den Account benutzt hat. Aus der syslog.conf werde ich leider nicht schlau, einen Hinweis auf die IPs finde ich da nicht drin.
Greets
danke für Deine Antwort. Die User loggen sich über ssh ein - der Account dient allerdings nur zum Transportieren von Dateien (er heisst filetransfer), wird von mehreren Usern benutzt. In der /var/log/messages steht zwar drinnen von wann bis wann der User filetransfer seine Session offengehabt hat aber nicht die IP von der aus die Session geöffnet wurde. Die möchte ich aber sehen weil ich nur so unterscheiden kann wer den Account benutzt hat. Aus der syslog.conf werde ich leider nicht schlau, einen Hinweis auf die IPs finde ich da nicht drin.
Greets
Du kannst in der syslog.conf den Log-Level heruntersetzen.
Das heisst, Du sagst dem syslog, was er loggen soll (z.B.: ob er nur die Fehler loggen soll oder alles - is getz nur ein einfaches Beispiel!!!)
Ich habe im Moment auf der Arbeit leider nur Win am Laufen, sollte Dir aber sonst keiner antworten, gucke ich noch mal genau nach und schreibe dann noch mal...
BT
Das heisst, Du sagst dem syslog, was er loggen soll (z.B.: ob er nur die Fehler loggen soll oder alles - is getz nur ein einfaches Beispiel!!!)
Ich habe im Moment auf der Arbeit leider nur Win am Laufen, sollte Dir aber sonst keiner antworten, gucke ich noch mal genau nach und schreibe dann noch mal...
BT
BlueTurtle schrieb:
Danke, das hab ich aber schon geschnallt
. Das Logginglevel so wie es jetzt bei mir eingestellt ist passt, ich möchte nur bei den Einträgen noch zusätzlich die IP dabeihaben, das is alles. Wenn da steht "Session opened for user soundso at 12:34:56 ..." soll einfach noch die IP drangehängt werden oder vorne das is dann egal.Greets,
lexter
Hallo Lexter,
Jul 8 07:38:00 SambaServer1 -- MARK --
Jul 8 07:56:32 SambaServer1 sshd[13326]: Accepted password for root from ::ffff:192.3.1.35 port 1532 ssh2
ich habs mal ausprobiert.
angemeldet über putty (ssh) auf der Linux-Kiste.
das ist die Ausgabe von tail -f /var/log/messages, ohne das ich an der syslog.conf rum gefummelt habe.
Ist das nicht genau das, was Du suchst?
BT
Jul 8 07:38:00 SambaServer1 -- MARK --
Jul 8 07:56:32 SambaServer1 sshd[13326]: Accepted password for root from ::ffff:192.3.1.35 port 1532 ssh2
ich habs mal ausprobiert.
angemeldet über putty (ssh) auf der Linux-Kiste.
das ist die Ausgabe von tail -f /var/log/messages, ohne das ich an der syslog.conf rum gefummelt habe.
Ist das nicht genau das, was Du suchst?
BT
Ja, das sieht super aus.
Bei mir kommt allerdings folgendes
"Jul 9 13:25:51 localhost sshd(pam_unix)[9249]: session opened for user root by (uid=0)"
wenn ich die syslog.conf unverändert lasse. Mir ist aber grad aufgefallen, dass das kein SuSE ist sondern ein Red Hat
. Wir haben mittlerweile nur mehr SuSE (seit Red Hat Fedora ist) aber die Firewall ist offenbar noch immer Red Hat. Ich werd mal ein Red Hat Forum befragen, aber trotzdem vielen Dank, mein Fehler!
Bei mir kommt allerdings folgendes
"Jul 9 13:25:51 localhost sshd(pam_unix)[9249]: session opened for user root by (uid=0)"
wenn ich die syslog.conf unverändert lasse. Mir ist aber grad aufgefallen, dass das kein SuSE ist sondern ein Red Hat
. Wir haben mittlerweile nur mehr SuSE (seit Red Hat Fedora ist) aber die Firewall ist offenbar noch immer Red Hat. Ich werd mal ein Red Hat Forum befragen, aber trotzdem vielen Dank, mein Fehler!wieso vergleichst Du nicht einfach die jeweiligen syslog.conf's miteinander?
Die Arbeitsweise müsste die gleiche sein, und Unterschiede sollten sofort auffallen - so lang ist die Datei doch nicht... (-;
BT
Die Arbeitsweise müsste die gleiche sein, und Unterschiede sollten sofort auffallen - so lang ist die Datei doch nicht... (-;
BT
wenn Du mir die RedHat syslog.conf schickst, gucke ich eben drüber.
Habe leider nur Suse hier.
BT
Habe leider nur Suse hier.
BT
ich noch ma...
#
# enable this, if you want to keep all messages
# in one file
#*.* -/var/log/allmessages
das sieht mir so aus, als wärs das richtige...
BT
#
# enable this, if you want to keep all messages
# in one file
#*.* -/var/log/allmessages
das sieht mir so aus, als wärs das richtige...
BT
BlueTurtle schrieb:
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* /var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
Voilá!
Ich glaube, dass der syslogd bei Red Hat anders funktioniert als bei SuSE, kann das sein?
änder mal die Zeile:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
in:
*.*;mail.none;news.none -/var/log/messages
ich denke, es liegt am *.*
BT
*.info;mail.none;authpriv.none;cron.none /var/log/messages
in:
*.*;mail.none;news.none -/var/log/messages
ich denke, es liegt am *.*
BT