Log einträge via Mail Senden

datanet

Cadet 2nd Year
Registriert
Mai 2021
Beiträge
26
Hallo alle zusammen.
Ich hab mal eine frage wozu ich bis jetzt nur wischi waschi antworten gefunden habe.

Aktuell suche ich nach einer Möglichkeit die Server Logs zu Überwachen.
Putty oder anders permanent laufen zu lassen währe option aber eventuell gibt es dort noch was anderes ?

Die idee die mir einviel wahr die Logs einfach alle 5 Minuten via mail zu erhalten. dort wüsste ich nur nicht wie so ein Script aussieht.

die Zweite idee wahr nen Tool dafür ein zu Setzen. Wenn jemand von euch ein Tool kennt das Kostenlos ist oder nicht als zu teuer nur her damit ^^

Wenn ihr noch andere Ideen habt nur her damit :D
momentan ist mein Server mal wieder unter beschuss und IMAP ist überlastet. Verbindungsproblem aufgrund zuvieler einwahlen und ich will wissen was dort genau passiert was was Problem erzeugt. deswegen will ich die Logs zugesendet bekommen oder mit einem Tool überwachen damit ich falls dort was durch kommt oder duchgekommen ist direkt informiert werde ^^
 
Prometheus/Grafana
 
datanet schrieb:
Die idee die mir einviel wahr die Logs einfach alle 5 Minuten via mail zu erhalten. dort wüsste ich nur nicht wie so ein Script aussieht.
- remote logging / via tunnel (wg. klartext protokoll)

Skript:
journalctl
  • Filterung via --since (letzter timestamp : akt. zeit - "intervall" zeit) , --until now (und filterung auf dienst bei Bedarf)
  • dann in textdatei + verschicken
  • oder abspeichern
  • dann mit einem client den Sicherungsordner downloaden / syncen; dann muss nicht mit mail-zeugs hantiert werden

das Skript dann alle <intervall> via cron etc. ausführen
 
datanet schrieb:
einfach alle 5 Minuten via mail zu erhalten
Also 288 Mails pro Tag empfangen? Das kann wahrlich nicht die Lösung sein! :D

Entweder ein Monitoring-Tool wie schon erwähnt, oder anderer Ansatz:
Fünf schlanke Tools zum Überwachen von Logfiles

Damit wären auch im Bedarfsfall Mailbenachrichtigungen möglich. Und dann mal weiter durchhangeln.

Fail2Ban ist hoffentlich auch bereits installiert und entsprechend eingerichtet. Gibt es glaube auch ein IMAP-Jail für.
 
Frage nur ich mich, was für ein Server das ist und welche Dienste konkret überwacht werden sollen?

Wenn wir von einem Linux Server ausgehen, kannst du dort schon fast mit Bordmitteln alle 5 Minuten eine Mail raushauen und eine Log-datei anhängen. Die Frage ist aber, bringt dir das etwas?
 
Der Lord schrieb:
Also 288 Mails pro Tag empfangen? Das kann wahrlich nicht die Lösung sein! :D

Entweder ein Monitoring-Tool wie schon erwähnt, oder anderer Ansatz:
Fünf schlanke Tools zum Überwachen von Logfiles

Damit wären auch im Bedarfsfall Mailbenachrichtigungen möglich. Und dann mal weiter durchhangeln.

Fail2Ban ist hoffentlich auch bereits installiert und entsprechend eingerichtet. Gibt es glaube auch ein IMAP-Jail für.
jop. fail2 ban leuft bereits.
der server ist permanent unter einer Bruteforce attacke am laufen die er relativ gut handelt aber trotzdem währe es dort gut wenn man dort wenigstens ne direkte info bekommt sollte mal was nicht so geblockt werden wie es soll.
ich werde halt nicht bezahlt für 24/7 Systemlogs zu durchstöbern nach eventuellen Sicherheitsploblemen ^^ das würde mir einiges an Arbeit abnehmen :D

zusätzlich spammen mich unsere 16 DNS Server mit reports im log zu die ne ziemlich lange liste hinterlassen wenn die einmal versuchen neue infos zu Fetchen ^^
 
Poati schrieb:
Frage nur ich mich, was für ein Server das ist und welche Dienste konkret überwacht werden sollen?

Wenn wir von einem Linux Server ausgehen, kannst du dort schon fast mit Bordmitteln alle 5 Minuten eine Mail raushauen und eine Log-datei anhängen. Die Frage ist aber, bringt dir das etwas?
ja. dort laufen CRM Systeme, NMS tools und Automation Tools für externe Server sowie Datenbanken mit Sensibelen Daten. viele werden an andere server weiter geleitet aber manche bleiben auf dem einen Server sitzen für den Schnelleren zugriff
 
@Poati Da die Rede von Putty und IMAP ist, gehe ich einfach mal von einem Linuxserver mit Dovecot oder ähnlichem aus. Aber ich gebe die Recht, dann sollten die Skills für eine einfache Mail von der CLI aus schon vorhanden sein. :)

Wenn ich aber schon "sensible Daten" und "Server steht unter Beschuss" lese, bekomme ich leichte Bauchschmerzen. Hoffe sehr, dass der Server vom Fachpersonal entsprechend abgesichert ist. Ohne dies auch nur ansatzweise böse zu meinen, wirklich!, habe ich bei der Fragestellung hierbei meine Bedenken.
 
Der Lord schrieb:
@Poati Da die Rede von Putty und IMAP ist, gehe ich einfach mal von einem Linuxserver mit Dovecot oder ähnlichem aus. Aber ich gebe die Recht, dann sollten die Skills für eine einfache Mail von der CLI aus schon vorhanden sein. :)

Wenn ich aber schon "sensible Daten" und "Server steht unter Beschuss" lese, bekomme ich leichte Bauchschmerzen. Hoffe sehr, dass der Server vom Fachpersonal entsprechend abgesichert ist. Ohne dies auch nur ansatzweise böse zu meinen, wirklich!, habe ich bei der Fragestellung hierbei meine Bedenken.
ich kümmere mich nicht um die Sicherheit. ich bin lediglich dazu da um Probleme von Kunden zu beheben. und seit heute morgen kommen wir nicht mehr extern auf die Postfächer drauf

und da ich folgendes mehrfach in den Logs finde
saslauthd: failed mail authentication attempt for user 'info' (password len=11)
May 7 18:34:02 datanetgroup postfix/smtpd: warning: unknown[31.210.21.24]: SASL LOGIN authentication failed: authentication failure
May 7 18:34:03 datanetgroup postfix/smtpd: disconnect from unknown[31.210.21.24] ehlo=1 auth=0/1 quit=1 commands=2/3

dort kommen auch ab und zu reihen Logins für unsere emails drauf. meistens sind die von unseren Ticketsystemen die regelmäßig mails ziehen und tickets generieren.

dachte ich das ich mir die logs bzgl postfix autentification zukommen lasse damit ich mir alles in ruhe anschauen kann und auch nur das was mich interessiert damit ich die Probleme mit dem mailserver in den Griff bekomme, ständig stimmt etwas mit dem ding nicht. ich bin mehr mit dem Mailserver beschäftigt als mit dem was ich eigentlich machen muss.

für die Sicherheit ist nen Externes Unternehmen zuständig mit denen habe ich persönlich aber nichts zutuen und wenn dann nur via mail
 
datanet schrieb:
dachte ich das ich mir die logs bzgl postfix autentification zukommen lasse
Einige Logwatch-Tools hatte ich dir ja bereits genannt, kannst du dir gerne näher ansehen und dich da einarbeiten. :) Es erschließt sich mir zwar nicht so ganz, warum sich nicht dein 'externes Unternehmen' darum kümmern sollte, aber das kann mir ja im Grunde auch egal sein. :D

Sind im fail2ban denn auch Jails für deine Maillogins aktiv? Sieht mir nicht so aus, wenn du dir Sorgen um zu viele Fehllogins machst.

Nun wurden bereits einige Möglichkeiten genannt, die man abarbeiten und somit das Problem angehen kann. Hast du dich schon für eine Vorgehensweise entschieden?

Wünsche viel Erfolg. :)
 
Der Lord schrieb:
Einige Logwatch-Tools hatte ich dir ja bereits genannt, kannst du dir gerne näher ansehen und dich da einarbeiten. :) Es erschließt sich mir zwar nicht so ganz, warum sich nicht dein 'externes Unternehmen' darum kümmern sollte, aber das kann mir ja im Grunde auch egal sein. :D

Sind im fail2ban denn auch Jails für deine Maillogins aktiv? Sieht mir nicht so aus, wenn du dir Sorgen um zu viele Fehllogins machst.

Nun wurden bereits einige Möglichkeiten genannt, die man abarbeiten und somit das Problem angehen kann. Hast du dich schon für eine Vorgehensweise entschieden?

Wünsche viel Erfolg. :)
jop. arbeite mich gerade in graylog ein.
 
Wenn der Server aufgrund von zu vieler Anfragen in die Knie geht, dann ist es eine DoS-Attacke möglicherweise in Kombination mit Brute-Force. Im schlimmsten Falle eine DDoS. Definitiv ist das ein Job für die Firma, die sich um die Sicherheit kümmert...

Beim Verdacht auf DoS-Angriff sollte der Server vom Internet getrennt werden. Dann kannst du mal testen, ob alles wieder im grünen Bereich ist.
 
das muss ich anfragen ob das ding einmal lokal überpfüt werden kann. bis dato nur access via remote.

ich habe nach dem Problem gesucht und das hier fällt mir ins auge.
Das ist eine Zeile von nem auszug via iptables-s
f2b-plesk-postfix -s [IPADRESS]-j REJECT --reject-with icmp-port-unreachable
und das steht ca 50 mal untereinander
 
Ich dachte ich Teile meine Erkenntnisse.
Anfangs dachte ich das die meldung etwas mit den Anmeldeversuchen zutuen hat.

mittlerweile hab ich das Problem hoffentlich gefunden.
Es hat was mit dem SSL Zertifikat zutuen. Da das Zertifikat ansich leuft hab ich keine email bekommen das das zertifikat erneuert werden muss.

Ich habe einmal den Mailserver umgestellt von Postfix auf qmail und von Dovecot nach Courier. weil ich dachte wenn ich das ding neu Installiere verschwindet der Fehler.

Hier ein Log auszug wenn ich mich via thunderbird anmelden möchte
09:13:41.907 [error] SSL: hello: tls_connection.erl:705:Fatal error: handshake failure - malformed_handshake_data
May 8 09:13:41 datanetgroup guam[85]: 09:13:41.907 [error] gen_server <0.3146.0> terminated with reason: no match of right hand value {error,{tls_alert,"handshake failure"}} in kolab_guam_session:accept_client/1 line 182
May 8 09:13:41 datanetgroup guam[85]: 09:13:41.907 [error] CRASH REPORT Process <0.3146.0> with 0 neighbours exited with reason: no match of right hand value {error,{tls_alert,"handshake failure"}} in kolab_guam_session:accept_client/1 line 182 in gen_server:terminate/7 line 812
May 8 09:13:41 datanetgroup guam[85]: 09:13:41.907 [error] Supervisor {<0.422.0>,kolab_guam_listener} had child session started with {kolab_guam_session,start_link,undefined} at <0.3146.0> exit with reason no match of right hand value {

als ich dann das SSL Zertifikat überprüft habe wahr alles in Ordnung auser
IE 11 / Win 7 R Server sent fatal alert: handshake_failure
IE 11 / Win 8.1 R Server sent fatal alert: handshake_failure
IE 11 / Win Phone 8.1 R Server sent fatal alert: handshake_failure
IE 11 / Win Phone 8.1 Update R Server sent fatal alert: handshake_failure

Safari 6 / iOS 6.0.1 Server sent fatal alert: handshake_failure
Safari 7 / iOS 7.1 R Server sent fatal alert: handshake_failure
Safari 7 / OS X 10.9 R Server sent fatal alert: handshake_failure
Safari 8 / iOS 8.4 R Server sent fatal alert: handshake_failure
Safari 8 / OS X 10.10 R Server sent fatal alert: handshake_failure

habe daraufhin einmal das Zertifikat erneuert. Habe aber folgende meldung bekommen.
Invalid response from https://acme-v02.api.letsencrypt.org/acme/authz-v3/12945607938.

Details:

Type: urn:ietf:params:acme:error:unauthorized

Status: 403

Detail: No TXT record found at _acme-challenge.datanetgroup.de

habe die DNS Einträge überprüft und den TXT Record gefunden so wie er drinne stehen sollte.

neuinstallieren geht nicht wirklich aufgrund des TXT Records. hab den auch schon einmal entfernt und neu hinzugefügt. Ohne erfolg...
Ergänzung ()

hier einmal der SSL Labs Test https://www.ssllabs.com/ssltest/analyze.html?d=datanetgroup.de
 
Zuletzt bearbeitet:
Nochmal etwas Offtopic, aber nicht minder wichtig: bitte repariere mal eure Links zum Impressum und zur Datenschutzerklärung. Kann sonst böse enden sowas. :)
 
Der Lord schrieb:
Nochmal etwas Offtopic, aber nicht minder wichtig: bitte repariere mal eure Links zum Impressum und zur
jop. ist mir bis jetzt auch nicht aufgefallen. die website macht ein Kolege von mir. ich sag ihm mal bescheid das dort was fehlt ^^
Ergänzung ()

@Der Lord
hast du eventuell ne idee wie ich das mit dem SSL Zertifikat in den Griff bekomme ? das währe nämlich so die nächste idee wo ich eventuell das Problem mit dem Externen zugriff auf den Mailserver fixen kann.
SSL ist halt etwas
 
Zuletzt bearbeitet:
Zurück
Oben