Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Jakie logi trzeba trzymac http://forum.freesco.pl/viewtopic.php?f=28&t=15452 |
Strona 1 z 1 |
Autor: | TheL [ wtorek, 5 czerwca 2007, 13:53 ] |
Tytuł: | Jakie logi trzeba trzymac |
Hej tak sie wlasnie zastanawiam nad faktem ktore logi trzeba trzymac aby moc pokazac w razie kontroli sieci przez dziwne organizacje. Wiecie cos moze o tym temacie ? Jesli bym chcial logowac wszystkie polaczenia userow to dyski bym zapelnil w ciagu jednego jednego dnia. |
Autor: | tasiorek [ wtorek, 5 czerwca 2007, 17:10 ] |
Tytuł: | |
Fakt nawiazania polaczenia (pakiety SYN) jest gotowy skrypt na forum i access.log ze squida. |
Autor: | blackangel [ wtorek, 5 czerwca 2007, 17:49 ] |
Tytuł: | |
Ale czy masz/mamy obowiązek trzymania takich logów? |
Autor: | tasiorek [ wtorek, 5 czerwca 2007, 17:53 ] |
Tytuł: | |
Nie, ale lacze jest wziete na Ciebie i do ciebie zglosi sie policja w razie naduzyc pochodzacych z twojego ip. Jesli nie jestes w stanie udowodnic, ze to uzytkownik twojej sieci, to masz problem. |
Autor: | blackangel [ wtorek, 5 czerwca 2007, 19:16 ] |
Tytuł: | |
hehe nie jest na mnie ja tylko nim zarządzam a starego dziadka to mogą przesłuchiwać on ma kompa gorszego niż serwer więc im wytłumaczy kto to ściągał |
Autor: | JakubC [ wtorek, 5 czerwca 2007, 20:17 ] |
Tytuł: | |
Jednak chyba warto to robić aby zaoszczędzić sobie zabierania sprzętu do sprawdzenia, przesłuchań i innych tego typu nieprzyjemności. Jeżeli pokażesz logi, kto skąd i gdzie, to jesteś kompletnie czysty. |
Autor: | TheL [ wtorek, 5 czerwca 2007, 23:14 ] |
Tytuł: | |
a jakbym tak log z iptrafa przekierowal do pliku ? (musialbym szybko dolozyc jakis ogromny dysk chyba |
Autor: | -MW- [ środa, 6 czerwca 2007, 00:12 ] |
Tytuł: | |
Cytuj: Nie, ale lacze jest wziete na Ciebie i do ciebie zglosi sie policja w razie naduzyc pochodzacych z twojego ip. Jesli nie jestes w stanie udowodnic, ze to uzytkownik twojej sieci, to masz problem. z takiego zalozenia wychodze i codziennie sciagam plik wygenerowany przez tcpdump o objetosci 20-25MB. nie ulega watpliwosci, ze sa one potrzebne przekonalem sie juz 3 razy, kiedy to panowie z warszawskiej komurki przestepst internetowych prosili o interesujace ich dane. Cytuj: #-- zabija proces logowania killall tcpdump #-- zmienia nazwe pliku na robocza do pakowania mv /tmp/logi.dmp /tmp/roboczy.dmp #-- uruchomienie logowania tcpdump -i eth1 tcp [13] == 2 -w /tmp/logi.dmp & #--zapisuje w zmiennej ip routera IPzew="`ifconfig eth0 |grep addr: |sed 's/ /-/g' |sed 's/-.*addr://'g |sed 's/-.*//'g`" #-- archiwizacja tar cvfz /var/www/logi/$IPzew-`date +%Y-%m-%d-%H-%M-%S`.tar.gz /tmp/roboczy.dmp #-- kasuje plik roboczy rm /tmp/roboczy.dmp uruchamiany raz dziennie z crona i dodany do rc.local Cytuj: #-- dekoduje dane zawatre w pliku tymczasowym i zapisuje do pliku --
tcpdump -r roboczy.dmp > !!!.txt |
Autor: | DjRobson [ czwartek, 7 czerwca 2007, 19:23 ] |
Tytuł: | |
tasiorek pisze: Fakt nawiazania polaczenia (pakiety SYN) jest gotowy skrypt na forum i access.log ze squida. Chodzi o ten skrypt "ingiwilator" z forum? W moim przypadku, tzn. w momencie trzepania sieci, logi z serwa dałem nawet na płycie cdr. Biegły stwierdził, że tam nic niema oprócz tego, kto kiedy włączał kompa (pomijam fakt, ze ja co chcę to znajdę w tych logach). Access.log to co innego. Władza chce czasami sukcesu, więc jak sieć działa na nielegalu to i tak zwiną wszystkie kompy w wiadomym celu...
|
Autor: | tasiorek [ piątek, 8 czerwca 2007, 00:21 ] |
Tytuł: | |
DjRobson pisze: Biegły stwierdził, że tam nic niema oprócz tego, kto kiedy włączał kompa
Taki z niego biegly jak z koziej dupy trabka. Mam bardzo podobny skrypt i kilka bezproblemowych odwiedzin smutnych panow za soba. |
Autor: | Jacq [ piątek, 8 czerwca 2007, 12:57 ] |
Tytuł: | |
tylko taki mały aspekt, musicie mieć dowód ze dany ip należy do danej osoby. Ja w swojej amatorskiej sieci oprócz tcpdump-a każdemu użytkownikowi dałem do podpisania papierek ze w danym lokalu znajduje sie komputer o takim to a takim adresie IP identyfikujący sie takim to a takim MAC-kiem karty. Jeżeli koleś rzeczywiście coś namodził nie będzie się mógł wyprzeć że to nie on. |
Autor: | tasiorek [ piątek, 8 czerwca 2007, 14:34 ] |
Tytuł: | |
Wystarczy zapis o adresie mac umowie. |
Strona 1 z 1 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |