[linux] Ako zmensit logy?

Miroslav Cabarka mirodoma na arka.sk
Sobota Květen 25 22:50:42 CEST 2002 

> > pokusam sa vymysliet nieco, co by skratilo systemove logy na masine s
> > MDK 8.1. Napriklad v syslog je polovica riadkov takychto:
> > May 19 20:19:00 fw CROND[904]: (root) CMD (
> > /usr/share/msec/promisc_check.sh)
> >
> > Tak isto je v logoch spusta balastu od ipop3d, ktory loguje kazde
> > prihlasenie a odhlasenie sa MUA zo stanic.
> >
> > Co je lepsie:
> >  - prekompilovat pop-server tak, aby nelogoval prihlasenia a odhlasenia
> > a promisc_check.sh spustat z ineho skriptu v nekonecnej slucke s
> > minutovou pauzou,
>
> ak je system nainstalovany z binarnych balikov a nemas dake moralne
> zabrany pri pouzivani binarnych balikov nadalej, tak by som odporucil
> nasledovne:
>
> 1.
> editovat subor /var/lib/msec/security.conf a MAIL_WARN=yes zmenit na
> "no", to v pripade ze si nezelas ziadne spravy z bezu "msec" skriptov.

Tu nejde o maily, ale o objem suborov /var/log/*

>
> 2.
> v subore /etc/security/msec/level.local nastavit nieco ako:
> from mseclib import *
> enable_promisc_check(0)
> to pre pripad ze chces zakazat iba spustanie promisc_check.sh msec-om.

Nechcem to zakazat, to by bol najmensi problem. Skor ma trapi cron, ktory v 
tomto pripade zbytocne loguje kazde spustenie skriptu. Preto ma napadlo v 
rc.local spustit vlastny skript, ktory nerobi nic ine, len v nekonecnej 
slucke vola promisc_check.sh a potom caka 1min, potom odznova. Takto by sa 
zabezpecilo pravidelne spustanie skriptu, ale cron by nelogoval. Ak by 
skript zistil nieco nekale, je logovanie takejto skutocnosti v jeho rezii, 
nepotrebuje cron.

>
> 3.
> nakonfigurovat syslogd tak, aby tebou nepozadovane spravy zahadzoval,
> resp. nelogoval:
> /etc/syslog.conf -> spravy s facility auth a mail ta budu zrejme
> zaujimat. nepises konkretne ktory log ta trapi svojou velkostou, takze
> takto vseobecne :)

To by slo, pokial by sa do tych facility nesnazil zapisovat iny demon, 
ktoreho spravy ma zaujimaju.

>
> 4.
> syslog-ng nie je v 8.1 dostribucii. navyse jeho konfiguracia nie je
> trivialna, aj ked ma samozrejme iste nepopieratelne vyhody. syslog-ng sa
> zaradil do vyvojarskej distribucie mandrake len prednedavnom.
>
> 5.
> pecka je aj nakonfigurovat si uz nainstalovany softver podla poziadaviek
> a koli jednej (mozno) nepotrebnej feature si nerozbabrat system.

Pozriem sa na ten syslog-ng. To by mohlo byt asi najsystemovejsie riesenie.

Vdaka panstvo.

-- 
Ing. Miroslav Cabarka
mirodoma na arka.sk

Další informace o konferenci linux