system management
1748149 メンバー
3701 オンライン
108758 解決策
新規ポスト

ログインログの取得について

 
tiger
新しいメンバー

ログインログの取得について

初めまして。

初心者な質問ですが、御教授ください。

HP-UX11にて、ログインのログ取得を実施したいと考えております。

取得したい情報は下記の通りです。

対象:Telnetログインにおける時刻、ユーザー名、ソースIP

上記情報をsyslogに掃き出すための設定方法、もしくはもっと良い方法があれば御教授ください。

初心者ですので、易しく教えて頂けると幸いです。

宜しく御願い致します。
6件の返信6
nadachi
レギュラーアドバイザー

ログインログの取得について

 telnetdのmanページをみましたが、syslogに記録を残すようなオプションは見つかりませんでした。

 inetd の -l (エル)オプションを使えば、telnetサービスを使うためにまず inetdへconnectしてくるときにinetdが記録を残すようになりますが、telnetdだけではなく、他のinetd管理下のサービスへのコネクトも記録されます。

 login/logout の記録は、/var/adm/wtmpファイルに入っていますので、例えばwhoコマンドで表示できます。以下の例は、vega2250というノードから、telnetでloginしてlogoutするのを2回行ったときの

記録です。

$ who -a /var/adm/wtmp | tail

...

nadachi pts/tb Dec 10 08:58 . 27983 vega2250

nadachi pts/tb Dec 10 08:59 . 27983 id= tb term=0 exit=0

LOGIN pts/tb Dec 10 09:02 . 28011

nadachi pts/tb Dec 10 09:02 . 28011 vega2250

nadachi pts/tb Dec 10 09:02 . 28011 id= tb term=0 exit=0

(3つで一組、のようです。LOGINでloginが試みられた、次の行はsessionの開始、次の行は exit ステータス、のようです。)

 これは煩雑、ですので、accountingサブシステムの

acctcon, acctcon1, acctcon2 コマンドで、wtmpファイルをconnect session record としてフォーマットしてしまうのが楽だと思います。

(これらは本来、modem経由でloginするのが主だった時代に、connect session recordをまとめて、接続時間で課金するためのものですので、tigerさんの用途には適さないかも知れませんが。)

参考まで。
tiger
新しいメンバー

ログインログの取得について

nadachiさん、御回答ありがとうございます。

やはり、wtmp、btmpあたりの情報を見るのが一般的なのですね。wtmpファイルをconnect session record としてフォーマットする方法、試してみます。

可能であれば、ホスト名でなくIPアドレスベースでログ取得できればと思うのですが、こちらは不可能でしょうか。
T_K
頻繁なアドバイザー

ログインログの取得について

いっそのことsshを使用するというのはどうですか?

telnetよりセキュリティも向上しますし。

デフォルトではシスログに以下のように出力されます。

sshd: Accepted rsa for ユーザ名 from ソースIP port <使用Port>

ダウンロードはこちらから↓

http://www.software.hp.com/portal/swdepot/displayProductInfo.do?productNumber=T1471AA

telnetにこだわるなら、inetdのロギングをONにして(inetd -l)、/etc/syslog.confで

authファシリティを別ファイルに出力するようにすれば、多少すっきりすると思います。
法
頻繁なアドバイザー

ログインログの取得について

lastコマンドでは情報が不足するでしょうか。

実行例

# last -R

ログインユーザが多い場合はmoreで区切ることをお勧めします。

また、定期的にwtmpを別ファイルにするのであれば

# last -R <ファイル名>

で確認可能です。

法
頻繁なアドバイザー

ログインログの取得について

すいません、wtmpを別ファイルにした際のコマンドが間違えてました。

# last -R -f <ファイル名>

実行例

# last -R -f /tmp/wtmp.20041210

ご参考までに、当方ではある一定時間にwtmpを別名でコピーし、

# cat /dev/null > /var/adm/wtmp

にてゼロクリアするようcronで制御しています。
tiger
新しいメンバー

ログインログの取得について

マルティネスさん、法さん、

御回答ありがとうございました。

telnetは使用必須となりますので、

「inetd -l」によりsyslogへ記録する手法、

wtmpおよびlast(lastb)を使用した手法、

共に検証させて頂きます。

最終的には、このログを元に不審なアクセスに対する

アラートを上げるよう設定したいと考えております。

また質問させて頂く事もあるかと思いますが、

その際は宜しく御願い申し上げます。