Information: Forum is in read-only mode
For details and other support options see https://www.adiscon.com/news/support-forum-set-to-read-only-mode/

Teil/Vollanonymisierung von Logfiles?!

This is a German-language forum for those that prefer this language. For broader audience (and quicker replies) post to the English forums if you feel comfortable enough with that.

Dies ist ein deutschsprachiges rsyslog Forum. Hier gibt es keine weitere Unterteilung wie in den Englischen Foren. Wer sich bei Deutsch wohler fühlt, der Poste hier. Man bedanke aber, das Antworten hier ob der geringeren Teilnehmerzahl länger dauern können.

Moderator: alorbach

Google Ads


Teil/Vollanonymisierung von Logfiles?!

Postby tre3k » Sun Jul 03, 2011 11:29 am

Hallo,

eigentlich hatte ich nur vor, in allen Logfiles die ein- und ausgehenden IPs so zu maskieren, dass in den Logfiles Statt der tatsächlichen IP nur die entsprechenden Netwerkschnittstelle steht. Also in etwa so:

Original:
Jul 3 08:36:50 Servername sshd[1571]: Failed password for invalid user ts from 1.2.3.49 port 335 ssh2

Danach:
Jul 3 08:36:50 Servername sshd[1571]: Failed password for invalid user ts from eth0 port 335 ssh2

Allerdings mußte ich feststellen, dass ich hier noch Plesk installiert habe, was wiederum seine eigenen logfiles irgendwo anders ablegt. Nun stell ich mir die Frage, ob ichhier richtig bin?!

Ich würde am Liebsten eine Lösung haben, durch die gruindsätzlich alle IPs die per %HOSTIP% in Logfiles geschrieben werden, den Netzwerkkarten zuzuweisen. Evtl. noch mit "Eingehend/Ausgehend" markiert.

Leider versteh ich von den Internas der Linux Logfilegenerierung nicht viel und weiß bisher nicht wo ich idealerweise ansetzen könnte. Durch die Lösung möchte ich eine möglichst einfache und systemweite "Teilanonnymisierung" aller Logfiles erreichen. Wo muß man hier genau ansetzen? Gibt es eine entsprechende Lösung, die für die obigen Applikationen möglichst transparent ist, also

%HOSTIP% würde dann standardmäßig einfach nur die Netzwerkkartennamen anzeigen und ob es eingehender oder ausgehender Datentransfer war. Ließe sich so etwas machen? Das wäre echt spitze!!!

PS: Am besten wäre, wenn der User somit global das Schreiben der externen IPs verhindern könnte, ohne alle bestehnden Scripte anpssen zu müssen:)
tre3k
New
 
Posts: 1
Joined: Sun Jul 03, 2011 10:35 am

Urgent Question?

  • Pulling out your Hair?
  • Wasting Time and Money?
  • Deadline Approaching?

Google Ads


Return to Deutsches rsyslog Forum

Who is online

Users browsing this forum: No registered users and 1 guest

cron