* [gentoo-commits] gentoo commit in xml/htdocs/doc/de: logcheck.xml
@ 2011-12-24 19:58 Tobias Heinlein (keytoaster)
0 siblings, 0 replies; only message in thread
From: Tobias Heinlein (keytoaster) @ 2011-12-24 19:58 UTC (permalink / raw
To: gentoo-commits
keytoaster 11/12/24 19:58:07
Added: logcheck.xml
Log:
Initial translation, by Christian Gebler, thanks! English revision 1.2.
Revision Changes Path
1.1 xml/htdocs/doc/de/logcheck.xml
file : http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/de/logcheck.xml?rev=1.1&view=markup
plain: http://sources.gentoo.org/viewvc.cgi/gentoo/xml/htdocs/doc/de/logcheck.xml?rev=1.1&content-type=text/plain
Index: logcheck.xml
===================================================================
<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/de/logcheck.xml,v 1.1 2011/12/24 19:58:07 keytoaster Exp $ -->
<guide lang="de">
<title>Logcheck Leitfaden</title>
<author title="Autor">
<mail link="phajdan.jr"/>
</author>
<author title="Bearbeiter">
<mail link="nightmorph"/>
</author>
<author title="Übersetzer">
<mail link="geblerc@gmail.com">Christian Gebler</mail>
</author>
<abstract>
Diese Anleitung zeigt Ihnen, wie man Logdateien mit logcheck analysiert.
</abstract>
<!-- The content of this document is licensed under the CC-BY-SA license -->
<!-- See http://creativecommons.org/licenses/by-sa/2.5 -->
<license/>
<version>2</version>
<date>2010-10-12</date>
<chapter>
<title>Erste Schritte mit logcheck</title>
<section>
<title>Hintergrund</title>
<body>
<p>
<c>logcheck</c> ist eine aktualisierte Version von <c>logsentry</c> (aus dem
<c>sentrytools</c> Paket), und wird benutzt, um System-Logdateien zu
analysieren. Zusätzlich beinhaltet <c>logcheck</c> eine Datenbank, die mit
häufigen und nicht sehr interessanten Log-Nachrichten befüllt ist, um unwichtige
Meldungen zu filtern. Generell stuft das Programm alle Meldungen als wichtig
ein, mit Ausnahme deren, die expliziet als unwichtig markiert werden.
<c>logcheck</c> benachrichtigt Sie regelmäßig per Email über wichtige Meldungen.
</p>
</body>
</section>
<section>
<title>logcheck installieren</title>
<body>
<impo>
Es wird dringend empfohlen, logsentry zu entfernen, falls Sie es auf Ihrem
System installiert haben. Zusätzlich sollten Sie /etc/logcheck entfernen, um
Probleme mit Benutzerrechten und Datei-Kollisionen zu vermeiden.
</impo>
<pre caption="logsentry entfernen">
<comment>(Deinstalliert das logsentry Paket)</comment>
# <i>emerge -C logsentry</i>
<comment>(entfernt liegengebliebene Dateien)</comment>
# <i>rm -rf /etc/logcheck</i>
</pre>
<p>
Nun können Sie mit der Installation von logcheck fortfahren.
</p>
<pre caption="logcheck installieren">
# <i>emerge -av app-admin/logcheck</i>
</pre>
</body>
</section>
<section>
<title>Basis-Konfiguration</title>
<body>
<p>
<c>logcheck</c> erstellt einen eigenen Benutzer "logcheck", um nicht als root
ausgeführt werden zu müssen. Es verhindert sogar die Ausführung als root. Damit
es die Logdateien analysieren kann, müssen die Dateien von logcheck lesbar
sein. Hier ist ein Beispiel für den <c>syslog-ng</c>:
</p>
<pre caption="/etc/syslog-ng/syslog-ng.conf Auszug">
options {
owner(root);
<comment>(Macht die Logdateien für die Gruppe logcheck lesbar)</comment>
group(logcheck);
perm(0640);
};
</pre>
<p>
Laden Sie die Konfiguration neu und stellen Sie sicher, dass die Änderungen
ordnungsgemäß funktionieren.
</p>
<pre caption="syslog-ng Konfiguration neu laden">
# <i>/etc/init.d/syslog-ng reload</i>
<comment>
(Stellen Sie sicher, dass /var/log/messages die richtigen Rechte besitzt)
</comment>
# <i>ls -l /var/log/messages</i>
-rw-r----- 1 root logcheck 1694438 Feb 12 12:18 /var/log/messages
</pre>
<p>
Sie sollten nun ein paar grundlegende <c>logcheck</c> Einstellungen in
<path>/etc/logcheck/logcheck.conf</path> vornehmen.
</p>
<pre caption="Basiseinstellungen /etc/logcheck/logcheck.conf">
# Controls the level of filtering:
# Can be Set to "workstation", "server" or "paranoid" for different
# levels of filtering. Defaults to server if not set.
<comment>(Die Einstufung "workstation" beinhaltet "server" und "server"
beinhaltet die Stufe "paranoid". Die Stufe "paranoid" filtert beinahe
keine Meldungen)</comment>
REPORTLEVEL="server"
# Controls the address mail goes to:
# *NOTE* the script does not set a default value for this variable!
# Should be set to an offsite "emailaddress@some.domain.tld"
<comment>(Stellen Sie sicher, dsas Sie die logcheck E-Mails empfangen können.
Ein Test wird dringend empfohlen.)</comment>
SENDMAILTO="root"
# Controls if syslog-summary is run over each section.
# Alternatively, set to "1" to enable extra summary.
# HINT: syslog-summary needs to be installed.
<comment>(Wenn Sie viele gleiche Meldungen in den Logdateien stehen haben,
können Sie app-admin/syslog-summary installieren und die folgende Option
aktivieren.)</comment>
SYSLOGSUMMARY=0
</pre>
<p>Außerdem müssen Sie <c>logcheck</c> mitteilen, welche Logdateien analysiert
werden sollen (<path>/etc/logcheck/logcheck.logfiles</path>).
</p>
<pre caption="Basiseinstellungen /etc/logcheck/logcheck.logfiles">
<comment>(Das ist ein syslog-ng Beispiel)</comment>
/var/log/messages
</pre>
<p>
Abschließend aktivieren Sie den logcheck Cronjob.
</p>
<pre caption="logcheck Cron Job aktivieren">
<comment>(Editieren Sie die Cronjob-Datei und folgen Sie den dort stehenden
Anweisungen)</comment>
# <i>nano -w /etc/cron.hourly/logcheck.cron</i>
</pre>
<note>
Für mehr Informationen zu Cron lesen Sie den <uri link="/doc/de/cron-guide.xml">
Cron-Leitfaden</uri>.
</note>
<p>
Herzlichen Glückwunsch! Sie bekommen nun regelmäßig wichtige Log-Meldungen per
E-Mail. Ein Beispiel der Nachricht sieht wie folgt aus:
</p>
<pre caption="Beispiel logcheck-Meldung">
System Events
=-=-=-=-=-=-=
Feb 10 17:13:53 localhost kernel: [30233.238342] conftest[25838]: segfault at 40 ip 40061403 sp bfc443c4 error 4
in libc-2.10.1.so[4003e000+142000]
Feb 11 12:31:21 localhost postfix/pickup[18704]: fatal: could not find any active network interfaces
Feb 11 12:31:22 localhost postfix/master[3776]: warning: process //usr/lib/postfix/pickup pid 18704 exit status 1
Feb 11 12:31:22 localhost postfix/master[3776]: warning: //usr/lib/postfix/pickup: bad command startup -- throttling
</pre>
</body>
</section>
</chapter>
<chapter>
<title>Problemlösungen</title>
<section>
<title>Generelle Tipps</title>
<body>
<p>
Sie können die logcheck-Option <c>-d</c> benutzen, um genauere Meldungen zur
Fehlersuche zu erhalten. Ein Beispiel:
</p>
<pre caption="Ausführliche logcheck-Meldungen zur Fehlersuche">
# <i>su -s /bin/bash -c '/usr/sbin/logcheck -d' logcheck</i>
D: [1281318818] Turning debug mode on
D: [1281318818] Sourcing - /etc/logcheck/logcheck.conf
D: [1281318818] Finished getopts c:dhH:l:L:m:opr:RsS:tTuvw
D: [1281318818] Trying to get lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318818] Running lockfile-touch /var/lock/logcheck/logcheck.lock
D: [1281318818] cleanrules: /etc/logcheck/cracking.d/kernel
...
D: [1281318818] cleanrules: /etc/logcheck/violations.d/su
D: [1281318818] cleanrules: /etc/logcheck/violations.d/sudo
...
D: [1281318825] logoutput called with file: /var/log/messages
D: [1281318825] Running /usr/sbin/logtail2 on /var/log/messages
D: [1281318825] Sorting logs
D: [1281318825] Setting the Intro
D: [1281318825] Checking for security alerts
D: [1281318825] greplogoutput: kernel
...
D: [1281318825] greplogoutput: returning 1
D: [1281318825] Checking for security events
...
D: [1281318825] greplogoutput: su
D: [1281318825] greplogoutput: Entries in checked
D: [1281318825] cleanchecked - file: /tmp/logcheck.uIFLqU/violations-ignore/logcheck-su
D: [1281318825] report: cat'ing - Security Events for su
...
D: [1281318835] report: cat'ing - System Events
D: [1281318835] Setting the footer text
D: [1281318835] Sending report: 'localhost 2010-08-09 03:53 Security Events' to root
D: [1281318835] cleanup: Killing lockfile-touch - 17979
D: [1281318835] cleanup: Removing lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318835] cleanup: Removing - /tmp/logcheck.uIFLqU
</pre>
</body>
</section>
</chapter>
</guide>
^ permalink raw reply [flat|nested] only message in thread
only message in thread, other threads:[~2011-12-24 19:58 UTC | newest]
Thread overview: (only message) (download: mbox.gz follow: Atom feed
-- links below jump to the message on this page --
2011-12-24 19:58 [gentoo-commits] gentoo commit in xml/htdocs/doc/de: logcheck.xml Tobias Heinlein (keytoaster)
This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox