• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

IPs loggen in /var/log/messages

lexter

Newbie
Hi,

weiss jemand ob es einen Weg gibt IP-Addressen in /var/log/messages (verwende Suse) zu loggen? Ich sehe dort zwar welcher User sich einloggt aber müsste auch wissen von welcher IP-Addresse sich der einloggt.

Danke für jede Hilfe!
 

BlueTurtle

Member
hallo,

wie loggen sich die User denn ein?
Über ssh?

Das wird normalerweise in der /var/log/messages mit geloggt.

an sonsten kannst Du den Log-Level in /etc/syslog.conf einstellen.


BT
 
OP
L

lexter

Newbie
Hi,

danke für Deine Antwort. Die User loggen sich über ssh ein - der Account dient allerdings nur zum Transportieren von Dateien (er heisst filetransfer), wird von mehreren Usern benutzt. In der /var/log/messages steht zwar drinnen von wann bis wann der User filetransfer seine Session offengehabt hat aber nicht die IP von der aus die Session geöffnet wurde. Die möchte ich aber sehen weil ich nur so unterscheiden kann wer den Account benutzt hat. Aus der syslog.conf werde ich leider nicht schlau, einen Hinweis auf die IPs finde ich da nicht drin.

Greets
 

BlueTurtle

Member
Du kannst in der syslog.conf den Log-Level heruntersetzen.

Das heisst, Du sagst dem syslog, was er loggen soll (z.B.: ob er nur die Fehler loggen soll oder alles - is getz nur ein einfaches Beispiel!!!)

Ich habe im Moment auf der Arbeit leider nur Win am Laufen, sollte Dir aber sonst keiner antworten, gucke ich noch mal genau nach und schreibe dann noch mal...

BT
 
OP
L

lexter

Newbie
BlueTurtle schrieb:
Du kannst in der syslog.conf den Log-Level heruntersetzen

Danke, das hab ich aber schon geschnallt :wink: . Das Logginglevel so wie es jetzt bei mir eingestellt ist passt, ich möchte nur bei den Einträgen noch zusätzlich die IP dabeihaben, das is alles. Wenn da steht "Session opened for user soundso at 12:34:56 ..." soll einfach noch die IP drangehängt werden oder vorne das is dann egal.

Greets,
lexter
 

BlueTurtle

Member
Hallo Lexter,

Jul 8 07:38:00 SambaServer1 -- MARK --
Jul 8 07:56:32 SambaServer1 sshd[13326]: Accepted password for root from ::ffff:192.3.1.35 port 1532 ssh2

ich habs mal ausprobiert.

angemeldet über putty (ssh) auf der Linux-Kiste.
das ist die Ausgabe von tail -f /var/log/messages, ohne das ich an der syslog.conf rum gefummelt habe.
Ist das nicht genau das, was Du suchst?

BT
 
OP
L

lexter

Newbie
Ja, das sieht super aus.
Bei mir kommt allerdings folgendes

"Jul 9 13:25:51 localhost sshd(pam_unix)[9249]: session opened for user root by (uid=0)"

wenn ich die syslog.conf unverändert lasse. Mir ist aber grad aufgefallen, dass das kein SuSE ist sondern ein Red Hat :oops: . Wir haben mittlerweile nur mehr SuSE (seit Red Hat Fedora ist) aber die Firewall ist offenbar noch immer Red Hat. Ich werd mal ein Red Hat Forum befragen, aber trotzdem vielen Dank, mein Fehler!
 

BlueTurtle

Member
wieso vergleichst Du nicht einfach die jeweiligen syslog.conf's miteinander?
Die Arbeitsweise müsste die gleiche sein, und Unterschiede sollten sofort auffallen - so lang ist die Datei doch nicht... (-;

BT
 
OP
L

lexter

Newbie
Ich hab einfach mal die SuSE syslog.conf rüberkopiert aber er schreibt am Red Hat trotzdem nicht die IP rein, dafür jede Menge anderes zusätzliches Zeugs. Ich werd googlen, googlen, googlen!
 

BlueTurtle

Member
ich noch ma...

#
# enable this, if you want to keep all messages
# in one file
#*.* -/var/log/allmessages


das sieht mir so aus, als wärs das richtige...


BT
 
OP
L

lexter

Newbie
BlueTurtle schrieb:
wenn Du mir die RedHat syslog.conf schickst, gucke ich eben drüber.

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.
authpriv.* /var/log/secure

# Log all the mail messages in one place.
mail.* /var/log/maillog


# Log cron stuff
cron.* /var/log/cron

# Everybody gets emergency messages
*.emerg *

# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log
local7.* /var/log/boot.log



Voilá!

Ich glaube, dass der syslogd bei Red Hat anders funktioniert als bei SuSE, kann das sein?
 

BlueTurtle

Member
änder mal die Zeile:

*.info;mail.none;authpriv.none;cron.none /var/log/messages

in:

*.*;mail.none;news.none -/var/log/messages

ich denke, es liegt am *.*


BT
 
OP
L

lexter

Newbie
Danke, das hat leider nichts gebracht - aber: in der Log-Datei /var/log/secure stehen offenbar alle SSH-Logins drinnen und nachdem SSH der einzige Dienst auf dem Rechner ist reicht mir diese Datei zum Nachsehen.
Vielen Dank auf jeden Fall!
 
Oben