作者 主題: 筆記,IPTables log analyzer安裝  (閱讀 71183 次)

0 會員 與 1 訪客 正在閱讀本文。

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #30 於: 2003-06-26 09:00 »
代碼: [選擇]
Jun 26 08:26:05 rh80-1 kernel: [IPTABLES DROP] : IN=eth0 OUT= MAC=00:50:fc:89:3e:b7:00:30:88:00:34:3b:08:00 SRC=185.157.75.119 DST=61.64.128.18 LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=46774 PROTO=TCP SPT=31290 DPT=46805 WINDOW=55808 RES=0x00 SYN URGP=0 OPT (020405B40103030201010402)

Jun 26 08:26:54 rh80-1 kernel: [IPTABLES DROP] : IN=eth0 OUT= MAC=00:50:fc:89:3e:b7:00:30:88:00:34:3b:08:00 SRC=194.183.128.50 DST=61.64.128.18 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=45055 DF PROTO=TCP SPT=2341 DPT=21 WINDOW=32120 RES=0x00 SYN URGP=0 OPT (020405B40101080A0A2A53430000000001030300)


上面是我的log給您參考!

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #31 於: 2003-06-26 13:58 »
引述: "netman"
"月份"問題是否與 locale 有關?
在 script 中先作 export LANG=en 看看?


感謝回應~~
請問是要加在feed_db.pl裡嗎??
我把他加在第二行~~~不過不能跑~~

另外~~我的log如下~~
引用

Jun 26 13:48:22 www kernel: [IPTABLES DROP]:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:90:27:9a:9a:c1:08:00 SRC=203.71.115.13 DST=203.71.115.127 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=17262 PROTO=UDP SPT=138 DPT=138 LEN=209


謝謝

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17423
    • 檢視個人資料
    • http://www.study-area.org
筆記,IPTables log analyzer安裝
« 回覆 #32 於: 2003-06-26 15:02 »
引述: "wilson"
請問是要加在feed_db.pl裡嗎??
我把他加在第二行~~~不過不能跑~~

feed_db.pl 是用 perl 寫的吧?
那就在跑 feed_db.pl 這個命令之前跑 export LANG=en ,如:
export LANG=en && /path/to/feed_db.pl

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #33 於: 2003-06-26 15:41 »
實在是非常感謝學長們的幫忙~~~~
以netman學長的方法執行之後~~~果然就OK了~~
畫面如下:
http://www.cju.edu.tw/iptables/

謝謝大家   :P

longlife

  • 活潑的大學生
  • ***
  • 文章數: 476
    • 檢視個人資料
    • Arch
port 67 ?
« 回覆 #34 於: 2003-09-02 23:21 »
我使用 iptablelog 紀錄到下列訊息,不知是何意義?
'2003-09-2 23:19:00','DROP','','10.16.48.1',
'unknown','255.255.255.255','unknown','UDP','67','68'

查詢 port 67:BOOTP server,port 68:BOOTP client
這是攻擊或是嘗試入侵?每分鐘約有 4-5 筆紀錄。
個人空間 - 部落格、相冊、書籤
論壇 - 商品、懸賞、活動、辯論

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17423
    • 檢視個人資料
    • http://www.study-area.org
筆記,IPTables log analyzer安裝
« 回覆 #35 於: 2003-09-03 07:15 »
bootp = DHCP

kan

  • 懷疑的國中生
  • **
  • 文章數: 48
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #36 於: 2004-05-16 18:34 »
請問第三行要用那個user 去建,小弟用root 會出現錯誤.
iptables_logger 板本是 v0.4
1. grant select right to a user used by the php interface
2. mysql> grant select on iptables.* to iptables_user@localhost identified by 'xx';
3. mysql> grant create temporary tables  on iptables.* iptables_user@localhost identified by 'xx';

yuanfang

  • 可愛的小學生
  • *
  • 文章數: 12
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #37 於: 2005-02-24 01:09 »
3. mysql> grant create temporary tables on iptables.* iptables_user@localhost identified by 'xx';

這一步不需要;

可能有問題的是
root@firewall sql# cat db.sql | mysql -u iptables_admin -p iptables

如果這行有錯的話,把iptables_admin 換成 root 去執行就OK


如果還是不行的話  應該就是LOG檔的問題
LOG裡一定要有iptables 這個pattern .

如果還是不行小弟就不知道了 ^^"  加油

liuw

  • 憂鬱的高中生
  • ***
  • 文章數: 106
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #38 於: 2005-05-02 16:24 »
有沒有人遇到這樣的問題?

引用
Unable to execute create temporary table filtered_logs select * from logs where date > @date_minus_day Mysql error : 1044 - Access denied for user 'iptables_user'@'localhost' to database 'iptables'


我的 mysql 4.1版
一直都沒成功過

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
筆記,IPTables log analyzer安裝
« 回覆 #39 於: 2005-05-02 16:36 »
引用
Mysql error : 1044 - Access denied for user 'iptables_user'@'localhost' to database 'iptables'

上面這些不是已經說很清楚了嗎?...

使用者沒有權限
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

cnlong

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #40 於: 2005-07-12 17:26 »
我的问题一样啊,
按wilson老兄说的把所有的filtered_logs都改成logs,就出现下面提示:
Unable to execute create temporary table logs select * from logs where chain='DROP:IN=lo' and date > @date_minus_day Mysql error : 1044 - Access denied for user 'iptables_user'@'localhost' to database 'iptables'

只有把config.php中的user改成root才行。不过也是只有页面没有图表。help! :cry:

cnlong

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #41 於: 2005-07-12 17:53 »
换成root进入X,打开opera,嘿嘿,能看到了!成功!

看来我的机器上普通用户是没有权限看iptables的log的,
就算把/var/log下面的文件设为777也不行,只能用root身分看了。

我的config.php还是要把user设为root才行,设为iptables_user死活不行.
另外,如果用root,就没有必要把filtered_logs改成logs了。
大概是root不会出现 Access denied这样的问题。

总算成功了,只是用root总觉有点不爽。:(

limeyu

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #42 於: 2005-07-27 17:16 »
引述: "wilson"
謝謝前輩的回應~~
3.我發現時間也有問題  在feed_db.pl這程式裡傳到資料庫的時間資料中 好像沒把”月份”傳過去 只傳2003--24 18:37:58這樣的格式  而資料表中的時間格式為datetime 只接受2003-06-24 18:37:58這樣的Input
  如果不合格式就記成預設的值0000-00-00 00:00:00  我不會perl  所以沒法改程式  希望會的前輩可以教教我如何改  目前我只把time的格式改為varchar(20)
  如此至少可記錄除了月份之外的時間


我也出現月份不見的問題了
我的解決方式:
1. 先將time的格式改為varchar(20)
2. vi feed_db.pl
3. 將$entry{'date'}="$year-".$m{shift(@entry_split)}."-".shift(@entry_split)." ".shift(@entry_split);
修改為$entry{'date'}="$year-".shift(@entry_split)."-".shift(@entry_split)." ".shift(@entry_split);
時間格式就會變為2005-Jul-01 12:00:00

kennyk

  • 可愛的小學生
  • *
  • 文章數: 20
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #43 於: 2006-08-11 17:50 »
引述: "duration"
好,新的問題又出現了,是關於SQL管理的

今天早上0點到剛8點多,我的iptables log出現了兩萬多筆的DROP,sql Table由40多k 暴增到5mb,這樣下去,我的小硬碟一下就爆了,有辦法限制它的大小嗎?



只留今天資料的 sh script.

#!/bin/sh
deldate=`date -d '-1 day' +%Y-%m-%d`
echo delete from logs where date like \'$deldate%\' | mysql -u帳號 -p密碼 iptables

richardwu

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
筆記,IPTables log analyzer安裝
« 回覆 #44 於: 2007-02-27 15:55 »
引用
[root@demo ~]# /usr/local/bin/feed_db.pl
syntax error at /usr/local/bin/feed_db.pl line 38, near "my "
Global symbol "$log_file" requires explicit package name at /usr/local/bin/feed_db.pl line 38.
Global symbol "$log_file" requires explicit package name at /usr/local/bin/feed_db.pl line 70.
Global symbol "$log_file" requires explicit package name at /usr/local/bin/feed_db.pl line 70.
Execution of /usr/local/bin/feed_db.pl aborted due to compilation errors.


諸位大德先進,可否幫小弟看一下,我執行後的結果是這樣,是哪裡有問題嗎?