ข้อมูลในการเก็บ log ต่างๆ

Technical topics
1

ขอเปิดกระทู้รวบรวมข้อมูลที่เก็บ log ต่างๆครับ เพื่อให้เพื่อนๆได้นำไปใช้ประโยชน์ใช้งานด้วยตนเอง

ข้อกำหนด: แจ้งรายละเอียดดังนี้
Program: อาทิเช่น apache
Path: อาทิเช่น /var/log
File: อาทิเช่น access.log
Control Panel: อาทิเช่น DirectAdmin, Plesk, HC7

สิ่งที่จำเป็นคือ
httpd log หรือ IIS
mail server log
ftp server log
เป็นอย่างน้อย 3 services นี้ครับ (ขั้นพื้นฐาน)

หมายเหตุ
กรุณาอย่าโพสคุยกันนอกเรื่องนะครับ เนื่องจากต้องการให้อ่านแล้วเครียร์เป็นแนว Technic Paper จริงๆครับ
ช่วยๆกันเสริมครับ

กราบขอบเพราะคุณอย่างสูง
หนึ่ง.

2

ตอบยังไงดีครับ อ่านแล้วยังงง ๆ

3

แนะนำ

4

[quote author=thaidhost link=topic=13050.msg127489#msg127489 date=1219228116]
ตอบยังไงดีครับ อ่านแล้วยังงง ๆ

5

เอาตัวอย่าง site ของผมเลยครับ… ที่เก็บมาตั้งแต่ปลายปีที่แล้ว (ไม่เคยลบ log)

[color=blue]-rw-r–r--

6

ผมถามว่า…แล้วจะทำไงกันต่อครับ?

7

แล้ว พรบ. เค้าให้เก็บอะไรบ้างครับ ไม่เห็น พรบ. จะมีอะไรชัดเจนเลย
แล้วถ้าผมปลอม เข้ามา log มันก็เก็บที่ปลอม ๆ ไป จะได้อะไรครับ …

แล้วเว็บใหญ่ ๆ log วันละ 400 GB จะทำยังไงดีครับ งงไปหมด

8

webserver log (httpd & IIS)
mail server log
ftp server log

อย่างน้อยๆสามตัวนี้สำหรับงานโฮสติ้ง

9

ในประกาศของกระทรวงครับ มีรายละเอียดอยู่

10

พี่ตีความออกมาให้เป็นภาษาแอดมินได้ไหมว่า…งานโฮสติ้งเก็บ log อะไรบ้าง ขอตรงนั้นมาเลยครับ

11

ผมว่ามันไม่ได้ตอบโจทย์ไงครับ ตรงนี้ ถ้าคนจะทำผิดจริง ก็ปลอมได้
ปลอม header ไม่ได้ยากอะไรเลย กรณี httpd access log
ผมจะใส่ IP อะไรก็ได้ User-Agent อะไรก็ได้ Refer อะไรก็ได้
สมมติ ผมใส่ IP มั่ว ๆ แล้วไปโพสรูปโป๊ โดนใคร ใครก็ซวยสิครับ

อีกอย่างไม่ได้ดูถูก ICT กับ ตำรวจนะครับ แต่ว่าคุณมีบุคคลากร
ที่มีความสามารถพอเรื่องพวกนี้หรือยัง ผมเคยต้องไปให้ปากคำ
คดีพวกนี้ แบบว่า ICT ก็มั่ว ตำรวจก็ไม่รุ้เรื่อง พวกเก่ง ๆ ก็ไม่มี
ใครไปทำงานพวกนี้หรอกครับ เงินเดือนไม่ถึงหมื่น มาทำเอกชน
เก่ง ๆ ได้เป็นแสน แล้วใครจะอยากไปทำครับ ส่วนไอ้เรื่องปรับนี่
ปรับแล้วเข้าใครครับ เอาไปทำอะไร ถ้าเอาไปทำให้คน ICT กับตำรวจ
ฉลาดขึ้นมา ก็น่าทำครับ แต่ถ้าเอาไปเข้ากระเป๋ากัน ก็ไม่เกิดประโยชน์
ตำรวจ มักคิดว่าพวกคนทำงาน IT รวย กะฟัน จริงๆ ไม่ใช่หรอก
ทำงานพวกนี้ เพราะใจรัก เพราะชอบลอง ชอบเรียนรุ้ ไม่ถึงกับรวย
ตำรวจขูดรีด รวยกว่าเยอะ

12

[quote author=212cafe.com link=topic=13050.msg127573#msg127573 date=1219249216]
ผมว่ามันไม่ได้ตอบโจทย์ไงครับ ตรงนี้ ถ้าคนจะทำผิดจริง ก็ปลอมได้
ปลอม header ไม่ได้ยากอะไรเลย กรณี httpd access log
ผมจะใส่ IP อะไรก็ได้ User-Agent อะไรก็ได้ Refer อะไรก็ได้
สมมติ ผมใส่ IP มั่ว ๆ แล้วไปโพสรูปโป๊ โดนใคร ใครก็ซวยสิครับ

อีกอย่างไม่ได้ดูถูก ICT กับ ตำรวจนะครับ แต่ว่าคุณมีบุคคลากร
ที่มีความสามารถพอเรื่องพวกนี้หรือยัง ผมเคยต้องไปให้ปากคำ
คดีพวกนี้ แบบว่า ICT ก็มั่ว ตำรวจก็ไม่รุ้เรื่อง พวกเก่ง ๆ ก็ไม่มี
ใครไปทำงานพวกนี้หรอกครับ เงินเดือนไม่ถึงหมื่น มาทำเอกชน
เก่ง ๆ ได้เป็นแสน แล้วใครจะอยากไปทำครับ ส่วนไอ้เรื่องปรับนี่
ปรับแล้วเข้าใครครับ เอาไปทำอะไร ถ้าเอาไปทำให้คน ICT กับตำรวจ
ฉลาดขึ้นมา ก็น่าทำครับ แต่ถ้าเอาไปเข้ากระเป๋ากัน ก็ไม่เกิดประโยชน์
ตำรวจ มักคิดว่าพวกคนทำงาน IT รวย กะฟัน จริงๆ ไม่ใช่หรอก
ทำงานพวกนี้ เพราะใจรัก เพราะชอบลอง ชอบเรียนรุ้ ไม่ถึงกับรวย
ตำรวจขูดรีด รวยกว่าเยอะ

13

อยากจะพูดจริงๆจากใจเลยว่า… หากเจ้าหน้าที่รัฐเก่งกว่านี้จริงๆ มีวิศวกรออกแบบงานนี้ขึ้นมารองรับและใช้งาน และพร้อมให้เอกชนนำ template นั้นไปใช้
จะไม่บ่นสักคำเลยจริงๆ

นี่อะไร… สั่งให้เก็บ แล้วสะบัดก้นไป ไม่รับรู้รับปํญหาอะไรกันเลยว่า…ในทางเทคนิคมันซับซ้อนยากกันอย่างไร

14

อย่าไปว่าเค้าไม่เก่งนะครับ ICT มีชื่อสุรชัย อ้วน ๆ ดำ ๆ เก่งสุดละ ใน 3 โลก
NS แม่งยังไม่รู้จักเลยด แต่ ping เป็นนะ

15

เอิ๊ก ปัญหาก็คือว่า ผมไม่ค่อยรู้ทางด้านเทคนิดเนี่ยซิ แค่ของตัวเองก็แทบไม่รอดแล้ว เพราะไม่รู้ว่า logอะไร คืออะไรบ้าง
ตอนนี้เก็บทุก file ที่เป็น log ครับ

อันนี้ที่อ่านแล้วเข้าใจเองน่ะครับ
อย่าง การเข้าถึงเครื่อข่าย เขาบอกให้เก็บ

  1. access log หรือ radius หรือ diameter ซึ่งในระบบของเรา ก็เห็นจะมีแค่ access
  2. วันเวลาที่ใช้
  3. user id
  4. IP
  5. หมายเลขที่เรียกเข้ามา อันนี้คิดว่าเราไม่ต้องเก็บเพราะไม่มี แต่เรา เอา IP&เวลา ไปผูกกับ ISP เพื่อหาหมายเลขโทร และชื่อเจ้าของหมายเลขได้

EMAIL เขาบอกให้เก็บ

  1. messags ID
  2. send & receiver Address ก็คงประมาณ ชื่อคน ส่ง คนรับ
  3. status ของ mail
  4. วันเวลา IP
  5. POP3 log

FTP
ก็เหมือน mail เก็บ สog ของ ftp ซึ่งก็คงประกอบด้วย วันเวลา IP แล้วก็ user ID เข้ามาในระบบ UP หรือ DOWN LOAD จากไหน ไปไหน ประมาณนี้แหละครับ

ซึ่งที่เคยเข้าเสวนากันมา ก็บอกว่า ใน CP ทุกตัวมันสร้าง log ครอบคลุมไว้หมดแล้ว

16

โอเค…ครับพี่…

เรามาเริ่มต้นกันกับ CP แต่ละตัวกันเลยครับ เราจะไม่เถียงกันนอกเรื่องกันล่ะ เราเป็น admin เราต้องทำกันได้ครับ

17

การอบรมของ sipa เท่าที่ได้อ่าน PDF มาเขาก็เน้นแบบกลางๆครับ เพราะระบบของแต่ละคนไม่เหมือนกัน
ตอนนี้ ถ้าเรายังไม่มองเรื่องของ central log ใน CP แต่ละตัวให้อะไรเราออกมาบ้างก่อนดีกว่าไหมครับ
จะได้รู้ว่า syslog ของ CP แต่ละตัวให้ค่าที่ต้องการครบไหม ยังไม่ต้องพูดถึง syslog-NG

18

ที่เก็บของ FTP สำหรับ DirectAdmin และเห็นว่าจะต้องเก็บมีสามไฟล์ครับ…

/var/log/proftpd
xferlog.legacy
access.log
auth.log

ระบบไม่ได้ทำการเก็บ 90 ตรงนี้ต้องแก้ไขอีก

ปล. เว้นให้คนอื่นช่วย Advice บ้าง…ช่วยกันหน่อย

19

ที่เก็บ mail ของ DirectAdmin มีสองไฟล์ที่เห็นว่าต้องเก็บ

/var/log/exim
mainlog
rejectlog

ระบบก็ยังไม่ได้เก็บแบบ 90 วันอันนี้ก็ต้องแก้ไขอีก

ปล. นี่พูดถึงเครื่องเดียวอ้างอิงจากระบบเดิมๆของ DA ลองมาแนะนำหาทาง config ยังไงให้เก็บ 90 วันกัน

20

นำ syslog มาดูกัน

$FreeBSD: src/etc/syslog.conf,v 1.28 2005/03/12 12:31:16 glebius Exp $