Logsend ne trouve rien à reporter ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Logsend ne trouve rien à reporter ?

Messagepar Kef » 12 Juin 2007 17:17

Bonjour

IPCOP 1.4.15 + Logsend 1.0-b3 + update 01

Logsend sans son update ne fonctionnait pas du tout, pas de mails envoyés.
Bien que théoriquement non nécessaire, j'ai installé l'update, et là je reçois bien les mails envoyés par Logsend, mais.. bien que LogCheck, DansGuardian, Proxy et Snort soient activés, j'ai systématiquement dans les mails "Nothing to report this period".

Etant débutant sous Linux en général, je suis un peu perdu..
Problème de compatibilité de Logsend avec IPCOP 1.4.15 ?
Fichiers de config à modifier à la main ?
Si oui le(s)quel(s), et comment ?

Merci pour votre aide :)

PS : personne n'a d'idée pour mon autre question, activer advanced proxy + URL filter sur une cnx OpenVPN ?
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Messagepar Gesp » 12 Juin 2007 22:03

Est-ce que /var/log/messages est vide ou normal?

Si le log est normal, le problème est avec logsend.
Il doit appartenir au groupe syslogd pour pouvoir lire le log.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Kef » 13 Juin 2007 09:37

Gesp a écrit:Est-ce que /var/log/messages est vide ou normal?

Il a l'air normal, syslogd 1.4.1, fichier de 1,2 Mo pour 3 jours.
On y trouve des entrées fcron, squid, kernel, ipcop, sshd, ntpdate, openvpnserver..

Si le log est normal, le problème est avec logsend.
Il doit appartenir au groupe syslogd pour pouvoir lire le log.

Aïe, ça dépasse mes maigres connaissances. Désolé mais je n'y connais pas grand chose..
Comment puis-je vérifier - modifier cela ? (lignes de commandes ?)

Merci pour ton aide.
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Messagepar Kef » 19 Juin 2007 08:31

Un petit up, personne ne peut m'éclairer ?
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Messagepar Pico10 » 19 Juin 2007 12:03

Kef a écrit:
Si le log est normal, le problème est avec logsend.
Il doit appartenir au groupe syslogd pour pouvoir lire le log.

Aïe, ça dépasse mes maigres connaissances. Désolé mais je n'y connais pas grand chose..
Comment puis-je vérifier - modifier cela ? (lignes de commandes ?)


ls -als /path_to_logsend
Un programme ne fait jamais ce qu'on veut mais ce qu'on lui demande de faire
Image
Avatar de l’utilisateur
Pico10
Major
Major
 
Messages: 85
Inscrit le: 11 Avr 2005 10:19

Messagepar Kef » 20 Juin 2007 14:48

Pico10 a écrit:ls -als /path_to_logsend


Sauf erreur, cette commande affiche le contenu du répertoire /var/ipcop/logsend ?
Je ne vois pas trop le rapport ?

Bon, reprenons : si j'ai bien compris, il faut que le fichier /var/messages appartienne au groupe syslogd pour que logsend puisse le lire ?

Pour le moment, via WinSCP, son propriétaire est "root".

Il faut donc que je fasse un "chgrp 105 /var/messages" ?
(vu que dans /etc/group, j'ai trouvé syslogd:x:105:)

Désolé si mes questions vous semblent très.. basiques :oops:
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Messagepar Gesp » 21 Juin 2007 14:26

/var/log/messages appartient à root dans le groupe syslogd

Si logsend est root ou appartient au groupe syslogd, il pourra lire /var/log/messages
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Kef » 21 Juin 2007 20:54

Gesp a écrit:/var/log/messages appartient à root dans le groupe syslogd

Si logsend est root ou appartient au groupe syslogd, il pourra lire /var/log/messages


Merci Gesp

Oui, sorry, c'est /var/log/messages.

Comme je suis une bille sous Linux, comme puis-je vérifier que logsend soit root, ou appartienne au groupe syslogd ?
Et si ça n'est pas le cas, pour le modifier ?

Et pour clarifier un peu, il est question de logsend en tant que processus, qui doit tourner avec des droits "super utilisateur", ou avec les droits attribués au groupe syslogd dont il doit faire partie ?
J'ai bon ?
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Messagepar Kef » 25 Juin 2007 09:14

Up..

Si ça peut aider à diagnostiquer mon petit pb, dans /tmp j'ai bien des répertoires "logwatch.xxxxxxxx" qui sont créés chaque jour, et qui contiennent les fichiers http et messages.
Chaque lundi figurent aussi dans le dossier les fichiers http-archive et messages-archive.

Un extrait du dernier fichier messages :

Jun 24 23:55:00 pwr1400 fcron[27569]: Job /var/ipcop/logsend/snort > /dev/null 2>&1 started for user root (pid 27570)
Jun 24 23:55:00 pwr1400 fcron[27574]: Job /var/ipcop/logsend/dshield > /dev/null 2>&1 started for user root (pid 27577)
Jun 24 23:55:00 pwr1400 fcron[27571]: Job /var/ipcop/logsend/proxy > /dev/null 2>&1 started for user root (pid 27573)
Jun 24 23:55:00 pwr1400 fcron[27579]: Job /var/ipcop/logsend/dans > /dev/null 2>&1 started for user root (pid 27581)
.../...
Jun 24 23:55:02 pwr1400 fcron[27569]: Job /var/ipcop/logsend/snort > /dev/null 2>&1 completed
Jun 24 23:55:02 pwr1400 fcron[27571]: Job /var/ipcop/logsend/proxy > /dev/null 2>&1 completed
Jun 24 23:55:02 pwr1400 fcron[27574]: Job /var/ipcop/logsend/dshield > /dev/null 2>&1 completed
Jun 24 23:55:02 pwr1400 fcron[27579]: Job /var/ipcop/logsend/dans > /dev/null 2>&1 completed

A priori l'execution de logsend laisse des traces qui semblent normales, mais je suis incapable de diagnostiquer plus loin :(
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité