Detailiertes Protokoll?

[SirDomsen]

Hi,

habe sporadische Zugriffe von außen auf meine DS-108j. Keiner der Leute meines Vertrauens will es gewesen sein, was ich auch glaube. Also muss es was unautorisiertes sein...
Gibt es ein Logfile bzw etwas in der Art, wo sämtliche ein- und ausgehende Verbindungen gelogt werden? Bzw ein log wo ich sehe was die Ds "im Hintergrund" macht? (Verbindungen, kopieren, schreiben, musikdatenbank aktialisieren). Oder könnte man, falls nicht vorhanden, die DS vielleicht dazu überreden in Form einer Mod? Ideeen?

Greetz
Domsen

 

[itari]

hi SirDomsen,

das ist eine nicht ganz einfache Frage. Die Web-Anwendungen (Apache, ftpd, telnetd, div. Streaming-Server usw.) haben kein einheitliches Logfile-Protokoll. Das Protokollieren der Netzwerk-Pakete (ohne User-Name usw.) geht leider auch nicht, weil der Linux-Kernel keine iptables unterstützt. Zum Protokollieren der Dateizugriffe gibt es was (aber da steht nicht drin, welcher User zugreift, sondern welcher Prozess liest, schreibt, usw. - was für dich wahrscheinlich nicht interessant ist). Ein Accounting-System gibt es bei der DS nicht, also kann die Rechenzeit pro User (die meisten Server laufen unter dem User 'admin') nicht ermittelt werden, würde dich aber auch nicht wirklich interessieren. Trotzdem gibt es Ansätze, diese Informationen zu sammeln und zu verbreiten (auf einem Log-Server) *guck*.

Auch unter Windows/Windows-Server würde man sich schwer tun, das zu erhalten, was du möchtest. Guck mal in die Ereignisanzeige rein, ob dich sowas interessieren würde.

Wahrscheinlich wäre es das Protokollieren deiner Webseiten das Einfachste. Du würdest dann sehen, welche IPs auf deinen Seiten wann zugegriffen haben. Das kann man per Apache-Log machen (da gab es schon Foren-Beiträge zu) oder zum Beispiel per Google-Analytics (wie ich mache).

itari

PS. Synology macht die Protokolle auch auf eine ganz besondere Art, die zu nichts wirklich kompatibel ist

 

[SirDomsen]

@ Itari

Danke schonmal für die Infos, werde mich wohl mal näher damit beschäftigen müssen. Blöd ist halt nur, dass ich solang keine Ahnung hab, wer auf meine Daten zugreift ^^. Könnte rein IP-adress-technisch gesehen evtl. der Router (FB 7050) zu dieser Aufgabe herangezogen werden? Die verwendet doch ebenfalls ein Linux... Ach ja: Ich verwende aktiell nur die file station im Web, alles andere ist deaktiviert...

so long

Domsen

 

[itari]

Nur die File-Station?!

Dann schau doch mal genau ins Protokoll des Disk Station Managers - Abteilung "Verbindungsprotokoll". Da wird doch genau Buch darüber geführt, wer sich welchen "shared folder" wann angesehen hat. Vielleicht reicht dir das schon?

itari

 

[SirDomsen]

Sorry, hab mich undeutlich ausgedrückt. Ich nutze die DS nur als fileserver mit file station und FTP zugriff. Müsste also theoretisch nur ein FTP-log haben, am Besten mit user und IP...

Greetz
Domsen

 

[itari]

Versteh ich nu nicht. File Station = Samba = "shared folders". Also die Zugriffe via File Station werden protokolliert. Nu hab ich auch noch den FTP-Service gestartet und siehe da, wird auch protokolliert ... Wolltest das nicht?

itari

 

[os24]

Hi,
evtl. hilft dies euch weiter. Hier mal eine Antwort direkt vom Hersteller, zum Thema Detail-Log. Die Datei habe ich allerdings noch nicht entpackt und nachgeschaut was drin ist. Diese sollte ich aber dem Hersteller zusenden:

Please help to provide us with the Kernel Log. To obtain the Kernel Log please follow the steps below:

1. Log in to Management UI.
2. You will see a link similar to: http://192.168.1.49:5000/webman/index.cgi
3. Add "?debug=1" to the link. So the above link will look like: http://192.168.1.49:5000/webman/index.cgi?debug=1
4. Press "Enter", and then the Kernel Log can be downloaded.

Please rename the Kernel Log before sending it.

Due to our mail server filter, we are unable to receive compressed files (the kernel log is compressed). As a work around, please rename the extension of the file. For example, if the extension is .zip or .rar , then rename it to .asd or something like that.

 

[SirDomsen]

oh wie blöd!!

Hi,

danke Itari! Genau das hatte ich gesucht - war nur zu blöd es zu finden

Aber dafür hab ich jetzt noch waas zusätzliches gelernt danke hierfür os24


Und danke für die Hilfe, ist echt n prima Forum hier!

Grüße
Domsen

 

[itari]

http://192.168.1.49:5000/webman/index.cgi?debug=1

Leider kann ich die Datei nicht unter Windows mit meinem UnZipper entpacken (nicht unterstützes Format), obwohl ich sonst mit gz-Files kein Problem hab. Kann jemand mal reinschauen und mir sagen, ob da was anderes als dmesg und/oder /var/log/messages* drinsteht?

itari

 

[os24]

Leider kann ich die Datei nicht unter Windows mit meinem UnZipper entpacken (nicht unterstützes Format), obwohl ich sonst mit gz-Files kein Problem hab. Kann jemand mal reinschauen und mir sagen, ob da was anderes als dmesg und/oder /var/log/messages* drinsteht?

itari

Habs auch gerade mal probiert. Kann diese Datei ebenfalls nicht entpacken. Da ich mich mit Linux überhaupt nicht auskenne, kann ich auch gar nicht sagen, welches Programm dafür benötigt wird. Ich hatte "nur" mal die Zeilen vom Hersteller wegen weiteren Logs hier gepostet. Evtl. kennen andere User das Format und können es entpacken. Wäre schon gespannt, was da so drin steht

 

[drago]

hi, ich habe ein ähnliche problem.

laut optische anzeigen, habe ich ein externen zugriff auf der DS, der nicht in den protokollen in dem DSM gelistet wird.

habe mir jetzt das aktuellste firmware instal., im glauben das ein fehler dadurch behoben wird, was dem anscheint nach nicht geholfen hat.

leider funktioniert der obere link zu dem patch nicht, daher hier noch einmal meine frage.

wie kann mir hierbei weitergeholfen werden?

wäre für jede weitere hilfe dankbar.

 

[jahlives]

Was sagen Euch die Logs des/der Router? Ihr habt ja Weiterleitungsregeln auf den Routern eingestellt. Kann man bei Euch diese Regln loggen? Mein ASUS Router würde mir IP, Port und Zugriffszeitpunkt protokollieren.

Gruss

tobi

 

[itari]

laut optische anzeigen, habe ich ein externen zugriff auf der DS, der nicht in den protokollen in dem DSM gelistet wird.

Das Blinken der LED sagt nichts über die Zugriffe auf Anwendungsprotokoll-Ebene aus. Die Netzwerk-Karte blinkt schon auf, wenn überhaupt ein Ethernet-Paket vorbeikommt, selbst wenn es (per Hub) gar nicht für die DS gelten würde. Die Counter für diese Pakete kann man sich ansehen: cat /proc/net/raw, aber das sagt nichts über deren Inhalte und deren Verwendung in den höheren Netzwerk-Protokollen (IP, TCP, UDP) aus bzw. ob sie überhaupt in den Netzwerk-Stack weitergereicht werden.

Weitere Statistiken (auch zu TCP, UDP und den UNIX-internen Sockets) findet man auch im /proc/net-Verzeichnis. Sobald aber die Pakete an das File-System des Kernels übergeben worden sind, verliert sich die Sicht, weil nun ja die Client- bzw. Server-Programme autonom darüber befinden, was sie protokollieren und was nicht. Leider fehlt dem Kernel ein wichtiges Überwachungs-Kernel-Modul, mit dem man sozusagen wie ein Spion die Pakete tracen könnte, nämlich iptables. Solange das nicht vorhanden ist, wird es mit weitergehende Loggings nichts.

itari

 

[drago]

Was sagen Euch die Logs des/der Router? Ihr habt ja Weiterleitungsregeln auf den Routern eingestellt. Kann man bei Euch diese Regln loggen? Mein ASUS Router würde mir IP, Port und Zugriffszeitpunkt protokollieren.

Gruss

tobi

hi,

leider nein, mein router protokolliert nur ausgehende Traffics.

 

[drago]

Das Blinken der LED sagt nichts über die Zugriffe auf Anwendungsprotokoll-Ebene aus. Die Netzwerk-Karte blinkt schon auf, wenn überhaupt ein Ethernet-Paket vorbeikommt, selbst wenn es (per Hub) gar nicht für die DS gelten würde. Die Counter für diese Pakete kann man sich ansehen: cat /proc/net/raw, aber das sagt nichts über deren Inhalte und deren Verwendung in den höheren Netzwerk-Protokollen (IP, TCP, UDP) aus bzw. ob sie überhaupt in den Netzwerk-Stack weitergereicht werden.

Weitere Statistiken (auch zu TCP, UDP und den UNIX-internen Sockets) findet man auch im /proc/net-Verzeichnis. Sobald aber die Pakete an das File-System des Kernels übergeben worden sind, verliert sich die Sicht, weil nun ja die Client- bzw. Server-Programme autonom darüber befinden, was sie protokollieren und was nicht. Leider fehlt dem Kernel ein wichtiges Überwachungs-Kernel-Modul, mit dem man sozusagen wie ein Spion die Pakete tracen könnte, nämlich iptables. Solange das nicht vorhanden ist, wird es mit weitergehende Loggings nichts.

itari

hi,

an deiner aussage mag ja was dran sein, nur ist es bei mir sporadisch und es tritt auch auf, wenn kein weiterer client am router angemeldet ist. deshalb frage ich mich was da abgeht. das gleiche blinken der LED habe ich auch, wenn auf meinem rechner emule läuft, demnach müsste dort was passieren.

und nein, bittorrent, emule, webserver und das terminal ist auf der DS nicht aktiviert, falls das nicht mit protokolliert wird.

 

[drago]

@itari

ich habe eben mal in das /net verzeichnis reingeschaut, dort wird nix von der DS protokolliert.

ist das normal?

 

[itari]

@itari

ich habe eben mal in das /net verzeichnis reingeschaut, dort wird nix von der DS protokolliert.

ist das normal?

Hab ich was von Protokollieren gesagt? Ich hab gesagt, da werden die Statistiken geführt.

Das mit dem Blinken hab ich versucht zu erklären: Es blinkt auch wenn Ethernet-Datenpakete nicht für die DS gedacht sind, sondern von irgend einen anderen Rechner/Router/Switch/Bridge einfach irgendwohin gesendet wird. Lokales Netzwerk ist wie Radio, einer sendet, alle empfangen, auch dann wenn es nicht für einen ist.

itari

 

[drago]

um statistiken zu führen müsste doch was aufgezeichnet werden.

oder sehe ich das falsch?

 

[itari]

Ich habe mal eine Statistik zur Veranschaulichung herausgeholt:

Synology> cat dev
Inter-|   Receive                                                |  Transmit
 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed
  eth0:43002608  202803    0    0    0     0          0         0 46353849  150674    0    0    0     0       0          0
    lo:   64609     724    0    0    0     0          0         0    64609     724    0    0    0     0       0          0

Das wird halt aufgezeichnet und mehr gibt es halt nicht. Das ist wie an der Strasse stehen und die Autos zählen, auch wenn kein Taxi für dich dabei ist.

itari

 

[drago]

das ist aber ein ganz anderes verzeichnis als was du hier erst gepostest hast und da gibt es halt diese aufzeichnungen nicht