Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Logfiles? Brauch ich nicht! (de)

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Jan Doberstein Jan Doberstein
November 24, 2016
Technology
0
49

Logfiles? Brauch ich nicht! (de)

This is my Slidedeck from the Open Source Workshop Deutsche Bahn - on 2016-11-24 in Frankfurt am Main.

Avatar for Jan Doberstein

Jan Doberstein

November 24, 2016
Tweet

More Decks by Jan Doberstein

See All by Jan Doberstein
take care of your logs (de)
Avatar for Jan Doberstein jalogisch
0
350
take care of your logs
Avatar for Jan Doberstein jalogisch
0
290
The Truth is in the Logs (de)
Avatar for Jan Doberstein jalogisch
1
710
Evolution im Monitoring (German)
Avatar for Jan Doberstein jalogisch
2
200

Other Decks in Technology

See All in Technology
OCI Database Management サービス詳細
Avatar for oracle4engineer oracle4engineer
PRO
1
7.2k
Embedded SREの終わりを設計する 「なんとなく」から計画的な自立支援へ
Avatar for SansanTech sansantech
PRO
2
1.7k
KubeCon + CloudNativeCon NA ‘25 Recap, Extensibility: Gateway API / NRI
Avatar for Aya (Igarashi) Ozawa ladicle
0
170
無ければ作る! バイブコーディングで作ったものを一気に紹介 
Avatar for tatsuya1970 tatsuya1970
0
110
Databricks Free Edition講座 データサイエンス編
Avatar for Takaaki Yayoi taka_aki
0
280
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.8k
コスト削減から「セキュリティと利便性」を担うプラットフォームへ
Avatar for SansanTech sansantech
PRO
3
990
Mosaic AI Gatewayでコーディングエージェントを配るための運用Tips / JEDAI 2026 新春 Meetup! AIコーディング特集
Avatar for GENDA genda
0
140
usermode linux without MMU - fosdem2026 kernel devroom
Avatar for Hajime Tazaki thehajime
0
200
開発メンバーが語るFindy Conferenceの裏側とこれから
Avatar for sontixyou sontixyou
2
520
Meshy Proプラン課金した
Avatar for henjin0 henjin0
0
180
SREじゃなかった僕らがenablingを通じて「SRE実践者」になるまでのリアル / SRE Kaigi 2026
Avatar for AEON aeonpeople
6
1.7k

Featured

See All Featured
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
54
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
880
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
46k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.7k
Tips & Tricks on How to Get Your First Job In Tech
Avatar for Honza Javorek honzajavorek
0
430
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
440
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
54
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
0
71
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
240
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
7.1k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
85
9.4k

Transcript

  1. Logfiles? Brauch ich nicht!

  2. Jan Doberstein ( @jalogisch ) 17+ Jahre IT Administrator Support

    Engineer bei Graylog ( @graylog2 )

  3. Warum sollte ich vergänglichen und unnützen Daten Aufmerksamkeit schenken?

  4. Was sind Logs?

  5. – Wikipedia „Eine Logdatei enthält das automatisch geführte Protokoll aller

    oder bestimmter Aktionen von Prozessen auf einem Computersystem.“

  6. – Wikipedia „ Außer dem Betriebssystem selbst schreiben meist Hintergrundprogramme

    (z. B. ein E-Mail- Server, ein Proxyserver und anderes) in Logdateien, um Aktionsmeldungen, Fehlermeldungen und Hinweise persistent (dauernd) oder temporär verfügbar zu halten. Ähnliches gilt für Installationsprogramme, Firewalls, Virenscanner und dergleichen. “

  7. Logs geben die Möglichkeit Dinge zu einem späteren Zeitpunkt nachzuvollziehen

  8. https://twitter.com/janl/status/785456374566223872

  9. Was sind Logs? (ein Beispiel)

  10. Aug 16 18:18:19 d8.jalogis.ch sshd[26944]: fatal: Unable to negotiate a

    key exchange method [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse mapping checking getaddrinfo for hn.kd.ny.adsl [222.138.139.252] failed - POSSIBLE BREAK-IN ATTEMPT! Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user admin from 222.138.139.252 Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: input_userauth_request: invalid user admin [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection closed by 222.138.139.252 [preauth] Aug 16 18:19:16 d8.jalogis.ch sshd[26948]: fatal: Unable to negotiate a key exchange method [preauth]
  11. None

  12. ohne Logs ist schlecht.

  13. lokales Sammeln • Linux ( syslog / journald ) •

    Windows ( Eventlog )

  14. lokales Sammeln root@d8:/var/log# grep -v "fatal: Unable to negotiate a

    key exchange method" auth.log | grep -v „pam_unix(cron:session)“ Aug 16 18:12:18 d8.jalogis.ch sshd[26930]: Connection closed by 45.114.50.54 [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse mapping checking getaddrinfo for hn.kd.ny.adsl [222.138.139.252] failed - POSSIBLE BREAK- IN ATTEMPT! Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user admin from 222.138.139.252 Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: input_userauth_request: invalid user admin [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection closed by 222.138.139.252 [preauth]

  15. lokales Sammeln root@d8:~# grep -v 'pam_uni(cron:session)' /var/ log/auth.log | grep

    'fatal: Unable to negotiate a key exchange method' | wc -l 3082
  16. None

  17. lokales Sammeln • Ist der Host nicht erreichbar, gibt es

    kein Log • Lokale Logs erlauben es nicht, dezentrale Ereignisse zu verfolgen • Kompromittierte Systeme sind manipuliert

  18. (simples) zentrales Sammeln • OS Grundausstattung • geringer Aufwand Syslog

  19. (simples) zentrales Sammeln

  20. None

  21. Datenbank & Interface

  22. Elasticsearch ist eine dokumentbasierte Datenbank die auf Apache Lucene aufsetzt

    und eine vollständige REST API bietet.

  23. > host:d8.jalogis.ch AND programname:sshd AND message:"*invalid user*"

  24. None

  25. • Anreicherung • Filterung • Normalisierung

  26. zentrales Sammeln & Anreichern

  27. Aug 16 18:18:19 d8.jalogis.ch sshd[26944]: fatal: Unable to negotiate a

    key exchange method [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse mapping checking getaddrinfo for hn.kd.ny.adsl [222.138.139.252] failed - POSSIBLE BREAK-IN ATTEMPT! Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user admin from 222.138.139.252 Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: input_userauth_request: invalid user admin [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection closed by 222.138.139.252 [preauth] Aug 16 18:19:16 d8.jalogis.ch sshd[26948]: fatal: Unable to negotiate a key exchange method [preauth]
  28. None
  29. None
  30. None
  31. None

  32. Datenbank & Interface

  33. None

  34. Syslog

  35. Syslog App Hardware

  36. App GELF / JSON Logfile Shipper

  37. App RAW Hardware Syslog

  38. None
  39. None

  40. Komplexes Sammeln • andere Transportwege und Protokolle • Warteschlangen (queue)

    • Paralleles Bearbeiten
  41. None
  42. None

  43. Einheitliche Betrachtung • verminderte Zugriffsrechte auf Server • schneller und

    einfacher Zugriff auf Informationen • einfache Administration
  44. None

  45. Fragen? (Live Demo gerne nachher …) @jalogisch @graylog2 http://graylog.org http://elastic.co

  46. None
  47. None