Posted: Mon Feb 08, 2010 19:50 Post subject: Log Auswertung von Zugriffsversuchen
Hallo Com,
Ich würde gern im WRT54GL eine LOG Auswertung von täglichen geblockten Zugriffen haben.
Zuvor hatte ich einen Level One Router.Dieser hatte eine LOG Funktion in der ich täglich sehen konnte,welche Zugriffe oder Port Abfragen ( von gescannten Ranges) vom Router geblockt wurden.
Diese Funktion vermisse ich beim WRT45GL( läuft mit ddwrt ).
Ich würde also gern eine LOG Auswertung in folgender Form haben:
Quell IP Ziel IP Protokoll Port Zeit
ist dies mit der ddwrt Software möglich ?
Ich habe leider im Router bzw. im Forum noch nichts darüber gefunden.
Wäre nett,wenn jemand einen Tip hat
[x]hat den Thread nicht ordentlich gelesen
[x]bei Wiki nur mal eben überflogen
[ ]super hilfreich
[x]Hauptsache erst mal was posten
Bevor ich einen Thread eröffne,suche ich mir über das Forum erst ein mal alle möglichen Hilfestellungen zu einem Thema heraus.Des weiteren beziehe ich so gut wie immer ein dazugehöriges WIKI mit ein.
Wenn du aber mal gründlich im Wiki gelesen hast und die Funktion eventuell selber mal ausprobiert hättest,dann wäre dir aufgefallen das die Einstellungen die dir das WIKI zum Thema LOG geben , bei weitem nicht dies ist wonach ich explizit gefragt habe.
Die genannten Einstellungen habe ich schon seit Inbetriebnahme des Routers laufen. Jedoch geben sie mir nicht die LOG Werte die ich gern hätte.
ich weiß leider auch nicht ob die Einstellungen dies zwar loggen , man aber nur über separate Tools diese Logs lesen/auswerten müsste.
Daher habe ich hier im Forum gefragt wie man dies umsetzen könnte.
Schade nur,das sich niemand genötigt fühlt mal eine Antwort zu geben.
Aber so wie ich erfahren habe, ist das scheinbar Gang und Gebe hier im Forum bzw. kann man froh sein,wenn man überhaupt ein nützliches Feedback bekommt.
Für ein eigentlich Technisch hoch motivierten Team was dieses Projekt auf die Beine gestellt hat,wirklich sehr sehr schade.
Sinn und Zweck eines Produkt eigenen Forums ist doch schließlich,sich über Fragen und Probleme zu äußern mit dem Hintergrund,von Erfahrungen andere User zu profitieren/lernen.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Sat Feb 13, 2010 14:29 Post subject:
Junge so schwer ist das doch nicht!
Schalte das FW Log + syslog ein.
Über den Button „Incoming Log“ hast du dann eine aufbereitet Übersicht der Geblockten Pakete.
Ich weis das reicht dir noch nicht bzw. werden dir zu wenig Infos ausgegeben.
Um mehr Infos zu bekommen musst du dir das messages file direkt ansehen.
Also per ssh oder Telnet einloggen und mit
Code:
cat /var/log/messages | grep DROP
Sich die Geblockten Packte anschauen.
Das sieht dann ungefähr so aus.
Code:
Feb 13 15:15:35 DD-WRT user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=74.125.79.99 DST=89.247.230.207 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=25316 PROTO=TCP SPT=80 DPT=4148 SEQ=4168319846 ACK=2029255956 WINDOW=115 RES=0x00 ACK FIN URGP=0
Feb 13 15:15:35 DD-WRT user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=74.125.79.99 DST=89.247.230.207 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=42967 PROTO=TCP SPT=80 DPT=4142 SEQ=1731673632 ACK=2894583715 WINDOW=131 RES=0x00 ACK FIN URGP=0
Feb 13 15:15:35 DD-WRT user.warn kernel: DROP IN=ppp0 OUT= MAC= SRC=74.125.77.101 DST=89.247.230.207 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=62860 PROTO=TCP SPT=80 DPT=4150 SEQ=1969509339 ACK=3998931750 WINDOW=112 RES=0x00 ACK FIN URGP=0
Da hast du dann alle infos die du willst
[x] Quell IP
[x] Ziel IP
[x] Protokoll
[x] Quell Port
[x] Ziel Port
[x] Zeit
Durch den SSH Login konnte ich die Logs einsehen und auswerten.
Da diese Vorgehensweise gerade bei großen Logs recht unübersichtlich wird, würde ich diese gern in eine HTML Ausgabe umleiten. Im Wiki habe ich den dazugehörigen Eintrag gefunden aber auch durch den Ersteller erfahren das dies wohl seit einigen Upgrades nicht mehr richtig funktioniert.
Kennst du eventuell eine Möglichkeit wie man dies mit der aktuellen Version ( ich selber fahre mit der DD-WRT v24-sp2 ) erstellen könnte?
Eigentlich sehr schade das so ein Features nicht als Standard Übersicht im WEB GUI vorhanden ist.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Tue Feb 16, 2010 17:49 Post subject:
Quote:
FW LOG
Unter Sicherheit--> Firewall: Log-Verwaltung
Hast du ja schon eingeschaltet!
Wie gesagt mit cat /var/log/messages | grep DROP
Filterst du ja schon nach den geblockten Paketen.
Im Browser wird dir das genauso angezeigt es fällt halt nur der ssh login weg.
(da gibt es übrigens mehrere Artikel bei mir selbst hat auch immer nur eine Variante funktioniert …. Aber welche das nun war ????)
Alternative kannst du dir das Ganze auch per Mail schicken lassen (gibt es auch eine Artikel im wiki) und wenn du das erst mal bei dir auf dem Rechner hast kannst du das ja „was weiß ich“ nach Excel importieren und aufbereiten.
Alternative geht natürlich auch ein Syslogserver an den das ganze gesendet wird da hat man dann sicher noch mehr Möglichkeiten sich das übersichtlich darstellen zu lassen.
z.B. Kiwi Syslog _________________ http://www.dd-wrt.com/phpBB2/search.php? http://www.dd-wrt.com/wiki/index.php/Main_Page http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation
hab mich bis eben mal mit den Möglichkeiten auseinander gesetzt die mir das WIKI dazu angeboten hat.
Link Logger...kostenpflichtig ( obwohl die die Auswertung sehr gut ist// da sehr umfangreich )
Kiwi Syslog ..kostenpflichtig und teurer als mein Router selber !
WallWatcher ..derzeit kostenfrei aber als Shareware betitelt..... macht mir irgendwie nicht gerade einen "sauberen " Eindruck
es kann doch nicht sein das ich für eine normale Auswertung extra Tools kaufen muss oder über umständliche Scripte oder dergleichen mir auch noch einen File zurecht basteln oder gar noch konvertieren muss damit er ich ein 3rd Programm ausgewertet werden kann.
Jetzt hab ich seit 4h im WIKI und WWW gesucht und keine Lösung gefunden die einfach und kostenfrei zu realisieren wäre. So was kann doch wirklich nicht sein.
Leider werde ich mit dem Step 1 nicht schlau
muss ich nicht erst den Ordner www anlegen ??
oder bleibt der Pfad immer nur temporär je Sitzung ?
@ Pepe
sag mal gibt es ein bekanntes Problem wenn man unter Windows (hier Windows 7 ) via SSH auf den Router zugreifen will ?
Der Webinterface Zugriff klappt von einem eingeschränkten Benutzer Account mit Benutzernamen und Passwort abfrage ohne Probleme.
Wenn ich aber mit Putty auf den Router zugreifen möchte,klappt das weder mit dem eingeschränkten Benutzer Account noch mit dem Admin Account.
Unter Linux klappt es aber auch nur mit root Rechten.
Als normaler User bekomme ich wie unter Windows bei der PW Abfrage folgende Meldung " Access denied
starte ich den SSH Befehl unter Linux via sudo ssh Zieladresse klappt der Zugang mit dem PW ohne Probleme
Unter Windows komme ich via SSH absolut nicht rein
Zugriffe via Putty auf dem Linux Rechner selber oder auf meinen File Server ( auch ein Linux Rechner )klappen ohne Probleme
Idee ??
Nachtrag: Wiki Tip angewandt aber der Log ist nicht zu gebrauchen. ( Optisches Chaos )
Kiwi installiert ...bringt aber keine Logs hervor
( hier weiß ich aber nicht ob Kiwi Log Viewer sich die Logs alleine holt oder ob ich sie manuell aus einem Ordner ins Tool laden muss )
WallWatcher läuft nicht unter Windows 7.
>Extra die "ältere" VisualBasic Datei msvbvm50.dll installiert
> alle benötigten *.ocx Datein aus der Library nach System32 kopiert und anschließend via regserv32 registriert.
Das Programm lässt dich nicht starten..ewig Fehlermeldungen die auch im Help.chm File nicht beschrieben sind. Der IP Scanner lässt sich zwar starten aber bemerkt gleich das unter "dieser " Windowsversion einige Features nicht laufen. Er benötigt diese aber um zu arbeiten.
Wenn man WW startet,erscheint zwar kurz ein Fenster welches sich aber gleich wieder schließt.
Es wird zwar ein Tray Icon erstellt aber sobald man auf das Icon geht,wird es sofort geschlossen.
Link Logger habe ich noch nicht installiert da dieser auch nur 14 Tage laufen würde.
Für 25 € würde ich mir den Logger ja noch kaufen aber nicht für 50 Euronen.
Ok, soweit erst mal der aktuelle Stand.....bin auch heute Abend wieder online
PS: schon mal vielen Dank für deine Geduld Pepe *G*
als Custom Script abspeichern und z.B. über cron alle x Minuten ausführen lassen.
Du muss halt mit leben das ab und zu die SQE bzw. ID Nummer mit angezeigt wird lässt man das feld weg können Informationen fehlen.
Jedenfalls hast du so nur die Zeit, Interface, Quell und Ziel IP sowie Quell und ziel Port.
ich hab das Script jetzt als Costume abgespeichert aber weiß noch nicht so recht wie es via Cron Job automatisch alle 10 Minuten ausgeben lassen kann.
Mir würde aber auch schon reichen,das ich es nach belieben manuell aufrufen kann und jeweils immer die letzten 1000 Einträge sehe.
Würd ich sogar noch besser finden
Überschreibt sich der LOG eigentlich selber ? nicht das ich mir den Router zu müll .
PS:Nachtrag
ich hab jetzt schon im Wiki nachgelesen damit ich das Script anwende.
Ich hab es also unter Administration-->Diagnose in die SCriptbox geschrieben und StartUp speichern geklickt.
Zum ersten muss ich immer :
ls -s /temp/var/log/messages /tmp/www/log.html
vor jeden Logstart in die Console hämmern ( sonst legt er gar kein Log Eintrag an)
und zweitens wird mir,obwohl ich dein Script in die Scriptbox gelegt habe,immer noch die alte "Chaos" Ansicht geliefert... nicht die übersichtliche die du gepostet hast.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Thu Feb 18, 2010 17:20 Post subject:
Nemisis wrote:
Was mache ich hier noch falsch?
Na ja im Bezug auf das was ich geschrieben habe so ziemlich alles.
Mal zum Verständnis
Mit
Code:
ls -s /temp/var/log/messages /tmp/www/log.html
erstellst du einen symlink (Verknüpfung) im Verzeichnis tmp/www der auf das logfile verweist und sich log.html nennt. Logisch also das du, wenn du diese html datei im Browser aufrufst, das komplette unformatierte logfile siehst!
Dann frag ich warum du den Skript-Schnipsel den ich oben geschrieben habe als StartUp speicherst das bring doch nichts.
Weil erstens es nur einmal während des Startens ausgeführt wird und zweitens dir nichts anzeigt weil ja noch nichts passiert ist, wir suchen ja ausschließlich nach Einträgen im logfile die das Wort DROP enthalten (die Internetverbindung steht noch nicht und selbst wenn wird in diesen paar msec. Keiner bei dir eine portscan durchführen o.ä.)
Das was da im script passiert ist folgendes.
Es werden die letzten 1000 Zeilen des Logfiles nach dem Wort DROP durchsucht aus diesen Zeilen werden dann nur die Infos ausgeben die benötigt werden alle anderen werden weggelassen.
Das was den dabei rauskommt wird in einer html Datei verpackt welche dann unter tmp/www angelegt wird log.html
Solltest du also mal das script ausführen und es wird im Browser außer
DD-WRT Firewall Logfile:
Nicht angezeigt dann ist auch nichts „passiert“ zumindest wurde nichts gedropt.
Zum Testen einfach mal eine portscan durchführen z.B. den hier
PortScan
und wären dessen oder danach einfach mal das script per hand starten (befehl dazu steht unten)dann wird dir auch definitiv was angezeigt 8sollte zumindest so sein wenn nicht hast du irgendwo einen Fehler gemacht!)
Also trage das script unter Administration-->Diagnose ein und speichere es mit „Save Custom Script“ ab.
Wenn du es automatisch starten lassen willst (zwei oder dreimal am Tag) dann mach das über cron. Wie cron funktioniert steht im wiki bzw. gibt es einen Haufen gute Dokus über cron im Internet.
Wenn du es per Hand starten willst kannst du das natürlich auch machen das script liegt unter
/tmp und heist custom.sh
also in das Verzeichnis wechseln und mit ./custom.sh das script starten.
bin erst heute wieder dazu gekommen was am Router zu richten.
Ja, stimmt dann hatte ich dich völlig missverstanden. Dank deiner Erläuterung hab ich jetzt aber den Dreh raus. Das Script hab ich per Hand mit vi in die
dazu vorgesehen Ordner eingetragen und via cron job alle 10 Minuten aktualisieren lassen.
Das ganze klappt jetzt auch so wie es sein soll.
Vielen Dank dafür schon einmal.
Leider habe ich aber noch ein kleines Problem ^^
Da ich meine PC's und auch den Router nachts immer ausschalte und erst am Abend oder wenn ich Feierabend habe wieder in Betrieb nehme,sind alle Einträge unter /tmp gelöscht. Somit auch meine Scripte.
In anderen Ordnern darf ich allerdings nicht schreiben da diese "Read only " sind.
Im Wiki stand zwar etwas zu StartUp Scripte aber die angegeben Ordnerstruktur ist unter /jffs nicht mehr sie wie sie dort ausgeschrieben ist.
Auch wenn man ein Script bzw die Befehle dafür im Webinf eingibt, erscheinen sie nicht dort wo sie eigentlich abgelegt werden sollen. Somit ist es dann auch schwer einen passenden cron job dafür zu erstellen.
Fällt dir noch eine Möglichkeit ein das Script fest zu speichern und es weiterhin über cron aktualisieren zu lassen ?