Suche App, welche mir umfangreiche Systemlogs zur Verfügung stellt...

futureformer

futureformer

Aktives Mitglied
Thread Starter
Dabei seit
21.05.2010
Beiträge
507
Reaktionspunkte
70
Hallo Forum !

Die Konsole vom Betriebssystem und das Protokoll der Server-App von OS X/mac OS bieten mir nicht genügend Informationen über die im Hintergrund laufenden Prozesse, Netzwerk- und Dateizugriffe.

Ich brauche daher eine Systemerweiterung oder App, die mir detailierte Informationen anbietet, vor allem hinsichtlich der zugreifenden Benutzer inkl. der verwendeten lokalen oder externen IP-Adresse.

Wer hat da einen Tipp ?
 
futureformer schrieb:
Die Konsole vom Betriebssystem und das Protokoll der Server-App von OS X/mac OS bieten mir nicht genügend Informationen über die im Hintergrund laufenden Prozesse, Netzwerk- und Dateizugriffe.

Ich brauche daher eine Systemerweiterung oder App, die mir detailierte Informationen anbietet, vor allem hinsichtlich der zugreifenden Benutzer inkl. der verwendeten lokalen oder externen IP-Adresse.
Zum Vergrößern anklicken....
Irgendwie klingt das wie die Wunschliste von jemandem der einige Dienste laufen hat, aber nicht so ganz weiß was/wie/wann protokolliert wird. Eine Systemerweiterung kann nicht zusätzliche Informationen speichern die die entsprechenden Prozesse nicht generieren. Zudem hast du nicht geschrieben für welche Server-/OSX-Version du suchst.

Meine Erfahrung mit Sierra und der entsprechenden Server-App ist dass Apple da am System einiges verändert und umgestellt hat. Bis 10.11 konnte ich z.B. ssh/sftp-Zugriffe loggen, mit 10.12 hatte ich es nicht geschafft (als ich es sehr intensiv versucht hatte).

Das ist leider eine nicht seltene Vorgehensweise von Apple - was heute funktioniert, muss morgen nicht mehr funktionieren.
 
Hausbesetzer schrieb:
Es ist erschreckend, dass Leute nicht fähig sind zu greppen ;)
/var/log/system.log
Zum Vergrößern anklicken....
Und du hast dort nachgeschaut und siehst dort explizite Einträge mit IP usw. oder schreibst du nur? Mit Sierra hat Apple das Logging umgestellt und ich bin nicht der einzige der zum Beispiel Zugriffe via ssh/sftp im Gegensatz zu 10.11 und früher nicht mehr loggen kann.

Du kannst mich gerne aufklären wie das geht, aber hier geht es im Gegensatz zu früheren Versionen nicht mehr. Habe hier im Forum sogar nachgefragt, aber niemand konnte helfen.
 
Das System-Log ist mir zu unübersichtlich und biette mir keine Möglichkeit, Alarme zu versenden. Das, was die Server-App unter El Capitan an Logs liefert, die z.B. den Dateizugriff oder angemeldete Benutzer protokollieren, ist erbärmlich und einer Server-App nichz würdig.

Ich suche daher eine App, welche mir die Möglichkeit bietet, die Informationen nach eigenen Wünschen aufzubereiten. Was mir z.B. sehr wichtig wäre, ist das Logging von eventuellen Zugriffen über externe IPs. Meine Firewall ist zwar ganz gut aufgestellt, aber ich plane, meinen kleinen Server auch über's Netz via FTP und Webinterface/Mailserver usw. erreichbar zu machen. Zudem bin ich mir nicht sicher, inwieweit sich meine Kennwörter ausschließlich in meinem Besitz befinden (aber das ist eine andere Sache). Auch die ssh-Zugriffe möchte ich komfortabel und gefilter/aufbereitet einsehen können. Dazu auch die Möglichkeiten haben, über E-Mail/SMS Statusnachrichten und Alarme gesendet zu bekommen.
 
Anstatt nur rumzustänkern könntet ihr einfach mal euren Grips benutzen. In der system.log wird jeder ssh Zugriff protokolliert, brauche ich die Quell-IP dazu, kann ich mir die mit den Informationen von da woanders herholen (who)
 
Hausbesetzer schrieb:
Anstatt nur rumzustänkern könntet ihr einfach mal euren Grips benutzen. In der system.log wird jeder ssh Zugriff protokolliert, brauche ich die Quell-IP dazu, kann ich mir die mit den Informationen von da woanders herholen (who)
Zum Vergrößern anklicken....
Noch einmal die Frage: Funktioniert es bei dir unter Sierra? Hast du nachgeschaut?

Seit Sierra hat Apple auf Unified Logging umgestellt und ich persönlich habe es nicht geschafft jeden SSH-(oder SFTP-)Login-Versuch zu loggen. Würde mich freuen wenn du erklärst wie es geht. Habe den chroot'ed SFTP-Zugang seit 10.8 mit der Server-App eingerichtet, aber seit 10.12 geht es eben nicht mehr so einfach bzw. finde keine Informationen wie es geht.
 
Ich hab kurz mal gesucht und laut dem ersten Treffer hat Apple mit Sierra ein neues Logging-System eingeführt, welches nicht mehr auf Log-Dateien setzt, sondern auf eine Datenbank. Ich bin mir nicht so sicher, ob ich das gut finden soll. Der Vorteil an Log-Dateien ist ja, daß ich mir auch die Logs noch ansehen kann, selbst wenn das System nicht mehr startfähig ist, aber als Laufwerk wenigstens noch mountbar. Das dürfte mit deiner DB deutlich aufwändiger werden.

Ich stehe mit dem Ding auch auf Kriegsfuß. Ich finde darüber auch **nichts** mehr. Ich hätte mir z.B. gerne mal alle "wake reason" angesehen. Das bekomme ich seit Sierra nicht mehr hin.
 
Böäh… nach meinem jetztigen Kenntnisstand muß ich

Code: 
log show --style syslog | fgrep "Wake reason"

im Terminal machen? Echt jetzt? Ich interessiere mich eigentlich für die Ereignisse danach.

Ich hoffe das geht besser und wieder via Konsole.app.
 
In der Tat gibt es meistens für so etwas keine andere Lösung und das hat einen banalen Grund:

Die Log-Dateien loggen alles mögliche und je nach Treibern, Erweiterungen oder anderer Software kommt da eine wenig vorhersagbare Kombination an Daten heraus. Gerade drum sind die Log-Dateien ja so spannend wie individuell. Dafür gibt es eben auf UNIX Ebene Werkzeuge um Dateien zu durchsuchen und Inhalte zu sortieren und auszuwerten. Wollte man das per GUI erledingen hieße das GUI Frontend für die UNIX Tools und deren Pipes zu erstellen. Das macht, letztlich, wenig Sinn aber viel Aufwand denn diese Tools haben meist sehr viele Optionen.


Ich finde es eigentlich ganz gut, dass Apple nicht den Windows Weg gegangen ist. Windows texten einen mit sinnlosen Meldungen zu. UNIX erwartet immer noch, dass der Anwender sich qualifiziert um es zu benutzen. So schwer ist es auch nicht die paar Konsolenbefehle und ihre Optionen zu lernen. Dafür hat man dann ein Schweizer Messer mit allen Tools um Fehler und Probleme rund um einen Mac tracken zu können.
 
wegus schrieb:
Ich finde es eigentlich ganz gut, dass Apple nicht den Windows Weg gegangen ist. Windows texten einen mit sinnlosen Meldungen zu. UNIX erwartet immer noch, dass der Anwender sich qualifiziert um es zu benutzen. So schwer ist es auch nicht die paar Konsolenbefehle und ihre Optionen zu lernen. Dafür hat man dann ein Schweizer Messer mit allen Tools um Fehler und Probleme rund um einen Mac tracken zu können.
Zum Vergrößern anklicken....
Auch an dich die Frage: sprichst du von 10.12 und dem neuen Logging oder allgemein, denn in den 10.12 Log-Dateien steht eben fast nichts mehr bezüglich ssh oder sftp. Vieles was bisher (<= 10.11) funktioniert hat, funktioniert bzgl. Log-Dateien nicht mehr.
 
@wegus: Wieso? Bis Sierra war es problemlos möglich die wake reasons in Konsole.app zu finden. Einfach "wake reason" im Meta-Log (erster Eintrag in der Seitenleiste) und durch die Events klicken. Ich konnte alles damit finden. Es funktionierte ja >>10 Jahre super. Das Meta-Log war super, da es mich schlicht nicht interessieren muß, aus welchen logs sich die Treffer speisen.

Ich will mich ja auch nicht dagegen verwehren, daß sie da was modernisieren wollen. Aber wenn man dann gar nichts mehr findet, mag ich es nicht. :)
 
CyberTom schrieb:
Auch an dich die Frage: sprichst du von 10.12 und dem neuen Logging oder allgemein, denn in den 10.12 Log-Dateien steht eben fast nichts mehr bezüglich ssh oder sftp. Vieles was bisher (<= 10.11) funktioniert hat, funktioniert bzgl. Log-Dateien nicht mehr.
Zum Vergrößern anklicken....

Ich sprach ganz allgemein von UNIXen. So findest Du unter LINUXen auth.logs, secure.logs und viele mehr. Zu Deinem Problem gibt es laut Stackoverflow eine Lösung. Da hat Apple wohl das Logging zu sehr reduziert:

https://stackoverflow.com/questions/43382825/where-to-find-sshd-logs-on-macos-sierra
 
Hausbesetzer schrieb:
Es ist erschreckend, dass Leute nicht fähig sind zu greppen ;)
/var/log/system.log
Zum Vergrößern anklicken....
Hausbesetzer schrieb:
Anstatt nur rumzustänkern könntet ihr einfach mal euren Grips benutzen. In der system.log wird jeder ssh Zugriff protokolliert, brauche ich die Quell-IP dazu, kann ich mir die mit den Informationen von da woanders herholen (who)
Zum Vergrößern anklicken....
Hausbesetzer schrieb:
Probier es doch selbst - natürlich funktioniert das. Warum auch nicht?
Zum Vergrößern anklicken....
Demgegenüber steht z.B. der Artikel auf Apfelwerk.de
Leider ist der neue Mechanismus nicht kompatibel mit der bisherigen „Standard Unix toolbox“ und den Befehlen tail, grep, less etc., die von Mac Administratoren seit langer Zeit verwendet werden beim Inspizieren von Log-Dateien oder beim Bau von Programmen für Support und Forensik.
Zum Vergrößern anklicken....
oder bei Apple selber
Historically, log messages were written to specific locations on disk, such as /etc/system.log. The unified logging system stores messages in memory and in a data store, rather than writing to text-based log files.
Zum Vergrößern anklicken....
wegus schrieb:
https://stackoverflow.com/questions/43382825/where-to-find-sshd-logs-on-macos-sierra
Zum Vergrößern anklicken....
Danke, den Link hatte ich schon gefunden bin damit aber nicht wirklich weiter gekommen. Das mit Unified Logging ist ein "Fortschritt" und ich werde mich dem nicht verweigern (können). ;)
Code: 
log show --info --style syslog | fgrep "sshd"
scheint zu funktionieren. Werde mit den Log Levels bei Gelegenheit rumprobieren und schauen ob ich alle erfolgreichen und failed logins sehen kann. Dauert selbst auf dem i7 nur ein paar Minuten. ;)

Wesentlich lieber wäre mir allerdings wenn ich wie bisher alle mich interessierenden Daten in eine system_sshd.log schreiben könnte. Wie es bisher seit Jahren funktioniert hat.
 
Zurück
Oben Unten