[linux-users:73082] Re: syslogの読み方を教えて下さい。

[SHIRAIWA Masafumi <m_shira _at_ xxxxxxxxxxxxx>]

<200008290259.LAA13843 _at_ sv0.sandf.co.jp> の、
   "[linux-users:73044] syslogの読み方を教えて下さい。" において、
   "Chikano Kazuyosi <chikano _at_ sandf.co.jp>"さんは書きました：

> syslogの読み方についてお教え頂けないでしょうか。

ポートスキャンなんてお話がでていたので、ちょっと先走ってしまいま
したが、syslog の読み方をお尋ねなんですね。

> ソースのどこかに書いてあるのかなと思っているのですが、見つける方法もわ
> かりません。（初心者です、すみません）
> 
> ソースのここを見なさいと言うアドバイスでも結構です。

調べ方をお尋ねということですね。
これは linux と付き合う上で、正しいやり方ですね。

で、ちょっと見てみたのですが、man page に … ナイ … アレ?
見つからないや:-)

というわけで記憶で。

> Aug 29 10:01:01 sv0 icmplog[260]: 127.0.0.1: udp port is unreachable 
> [dp=512 sp=1587]

を例にすると、

> Aug 29 10:01:01

メッセージの出力時間です。

>                 sv0

メッセージの出力マシン名です。syslog 機構ってのは、ネットワーク
対応しておりまして、ネットワーク上のマシンのログを一括管理するな
んてコトもできるわけです。
ですから、出力マシン名が必要なんですね。


>                     icmplog

出力プログラム名です。

>                            [260]

出力プログラムの pid です。
unix では、サーバは fork して、ドンドコ増えていってしまいますの
で、複数あるどのプロセスからのメッセージかを特定する必要があるん
ですね。

>                                   127.0.0.1: udp port is unreachable 
> [dp=512 sp=1587]

これ以降は、フリーフォーマットで、出力するプログラムが自由に記述
します。

出力する側は、読む側がわかるようにメッセージをつくってあるはずで
すので、メッセージの意味は読めばわかるはずです。
と、いっても不思議なことに読んでもわからないメッセージも多くて、
そこは勘を働かせて、勢いで読むんですね:-)

で、それでもわからなかったら、そのメッセージでソースを grep して
周りを見るわけです。
そこまですると、まぁ大体はわかるんじゃないでしょうか。

と、いうわけで勘で読みます。

> （１）
> Aug 29 10:01:01 sv0 icmplog[260]: 127.0.0.1: udp port is unreachable 
> [dp=512 sp=1587]

ICMP の port unreachable を受信したんでしょうね。
で、発生元が自分(127.0.0.1)で、dest port が、biff サービス(512)
で、src port が 1587 だったと。

> （２）
> Aug 29 10:01:01 sv0 udplog[276]: dgram to biff from 127.0.0.1:1587 
> sz=35(+28)

自分(127.0.0.1)の1587ポートから、biff ポートに見知らぬデータグラ
ムが送られてきた。そのサイズが 35byte だったと。(+28)ってのは、
IPヘッダ + UDP ヘッダじゃないかしらん。

> （３）
> Aug 29 10:02:08 sv0 udplog[276]: dgram to domain from 
> 172.16.1.250:1587 sz=42(+28)

172.16.1.250の1587ポートから、domain ポートに見知らぬデータグラ
ムが送られてきた。そのサイズが 42byte だったと。

大体こんなトコじゃないでしょうか。
このメッセージが続けて大量に出ているとかじゃないんだったら、特に
問題ないんじゃないでしょうか…。

--
SHIRAIWA Masafumi
m_shira _at_ f6.dion.ne.jp