Uwe Driessen schrieb:
On Behalf Of Robert Schetterer
warum die Bibel also 2 mal schreiben, ich will natuerlich niemanden hindern weitere analyse tools zu schreiben aber Dringlichkeiten gibts da aus meiner Sicht nicht
Wenn nur die Logs aufgehoben werden könnte die Menge schon recht Groß werden bei einem halben Jahr.
ich hab mal nachgesehen unkomprimiert auf einem sehr beschaeftigtem Server ( logtechnisch ) sinds 21 GB fuer 7 Monate , find ich jetzt nicht uebertrieben viel aber das ist Ansichtssache
Die connect Versuche die zu keiner Einlieferung führen dürften den größten Teil ausmachen.
stimmt, bots halt
Das parsen auf zusammenhängende Logeinträge in Massen ist recht aufwendig je nachdem was die alles wissen wollen.
tja genau dass weiss man erst , wenn soweit ist, aber mit grep bzw einem kleinen shell script ist das bei 20 Gb noch beherrschbar
So was wäre dann fein, wenn es sauber je Einlieferung und Zustellung, einen Datensatz aus einer Datenbank gibt.
wie bereits geschildert , ist ja jetzt schon ohne grossen aufwand moeglich zb http://www.rsyslog.com/doc-rsyslog_mysql.html
Zeitdruck das das jetzt in 5 Minuten auf dem Tisch liegen müsste sehe ich da allerdings auch nicht unbedingt. Die Regel wird sein das ein Richterlicher Beschluss per Zustellurkunde ins Haus flattert und man gebeten wird dies oder jenes vorzulegen
das sehe ich auch so
Auf der anderen Seite sollte dem Genüge getan sein auch wenn die Daten (selectiv) im Rohformat vorliegen. Das sortieren darf dann gerne der ermittelnde Beamte tun *gg
naja vorsortieren muss man evtl, ich bin mir nicht sicher ob man nicht wiederum gegen den Datenschutz verstoesst wenn man einfach ungefiltert seine logs weitergibt , aber das kommt halt dann auch darauf an was genau gefordert wird
die richtig boesen Jungs duerften dass eh schlauer anstellen ist ja kein Problem mit knoppix aeehnlichen distros dyndns und client wie server Verschluesselung am besten gleich noch ueber dialup ( suspekte handy karten und/oder ungeschuetzte wlan accounts ) da laesst sich ueber mehrere Ebenen alles moegliche verschleiern/verschluesseln und die Frage ist ohnehin warum die Mail benutzen sollten verschluesselte Komunikation ist ja ueber alle moegliche Protokolle im Internet moeglich und es zeigt sich immer wieder dass es durchaus moeglich ist seine Spuren zu verwischen
ansonsten reicht ja schon ein normaler grep, mach ich staendig aus anderen technischen Gruenden ueber GB grosse logfiles das sollte in jeden Fall immer ausreichend sein
Mit freundlichen Grüßen
Drießen