Logging

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Logging

    Hallo Forum

    Ich habe noch sehr wenig Erfahrung, was man wie angemessen logt und wie oft dies zum Einsatz kommen soll.
    Dazu habe ich mir einige Texte und Empfehlungen angeschaut, darum weiss ich jetzt (hoffentlich) in etwa, was ich so für Möglichkeiten habe.

    Trotzdem möchte ich eine Empfehlung von euch

    Beschreibung meiner Seite:
    -Userlogin
    -Viele AJAX-Requests des Users
    -Logoutbutton, User wird aber nach einer Weile ohne "Antwort" automatisch ausgeloggt
    -Wer noch mehr wissen will - Fragen sind willkommen.

    Ich denke mal, die IP und die UserID nehme ich sicher hinzu.
    Doch soll ich noch die GET- und Post-Parameter jedes Aufrufes loggen?
    Und würde mir der http_remote_port etwas bringen, um z.B. Clients hinter Routern zu identifizieren? (Ich weiss, der wechselt im Normalfall alle 600 Sekunden...)
    Oder würdet ihrs einfach bei User&IP belassen?

    Danke im Voraus für eure Ratschläge!
    Herzlichen Gruss
    Onyx

  • #2
    Warum willst du das alles wissen/loggen? So übertriebene logging-Wut ist der totale Mist. Stichwort: Personenbezogene Daten

    Kommentar


    • #3
      Ist ja nicht so, als würde ein Apache die meisten erwähnten Sachen schon per Default loggen ...
      [FONT="Helvetica"]twitter.com/unset[/FONT]

      Shitstorm Podcast – Wöchentliches Auskotzen

      Kommentar


      • #4
        Im Sinne dieser Richtlinie bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
        Nunja oO Das ist ja genau das, was ich hier frage:
        Soll ich nur personenbezogenes (UserID, IP) oder noch mehr loggen?

        Es scheint du rätst mir zu oberer Lösung. Aber wenn ich z.B. keine Parameter logge, wie will ich denn herausfinden, von welchem UserAccount aus z.B. ein Angriff kommt? So hätte ich doch wenigstens eine kleine Chance, den "Angreifer" zu entdecken*, wobei mir deine Lösung in dem Fall nichts bringen würde. Wie würdest du reagieren - Backup drauf und Geschichte vergessen?
        Das ist ja auch der Grund, warum ich IP & Clientport mitloggen möchte (vorausgesetzt, der Clientport wird irgendwie beim User mitgeloggt).

        Ich hoffe ihr versteht mein Anliegen Aber wenn mir noch jemand schreibt, das wär absoluter Humbug, dann lass ichs sein und glaube euch


        Danke im Voraus für eure Antworten & danke an lennart für deine

        MfG
        Onyx



        *Ich weiss, dass z.B. schon allein ein Webproxy dieses Logging sinnlos macht - darum das "eine kleine Chance"

        Kommentar


        • #5
          Oh, du warst schneller, unset ^^
          Mom das schaue ich schnell nach... (rest kommt per edit)

          EDIT:
          Wenn ich dazu die UserID noch dazulogge, ist das herrlich ^^
          (also danke @ unset)
          Aber meine Frage vom http_remote_port bleibt trotzdem.. Weiss da jemand etwas genaueres?

          Gruss
          Onyx
          Zuletzt geändert von Onyxagargaryll; 06.08.2008, 10:25.

          Kommentar


          • #6
            der remote port bringt dir nischt ... das wird vom client (browser) einfach gewählt und benutzt.

            an deiner stelle würde ich ip und user-agent loggen.
            eine user-id ist schwachsinn .. man kann deinen server auch angreifen ohne sich bei dir jemans angemeldet zu haben.

            und wer angreifen will .. der kommt über proxies daher und geht über telnet an deinen apachen .. und füttert ihn mit den richtigen befehlen damit der entweder schlappmacht oder sich schön weit öffnet

            der apache kann weitaus mehr als nur webseiten ausliefern .. er kennt noch solche befehle wie GET, POST, PUT, DELETE, CONNECT, OPTIONS, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK und UNLOCK und wenn der apache schlecht konfiguriert ist .. dann sind zuviele befehle verfügbar

            also erstmal server signatur aus .. oder nimm die von IIS .. dann denkt der hacker er hat nen wndows vor der nase und freut sich

            und nimm awstats oder webalizer um die apache logs auszuwerten ;(
            Gruß
            Uzu

            private Homepage

            Kommentar


            • #7
              an deiner stelle würde ich ip und user-agent loggen.
              User-Agent bringt dir wahrscheinlich noch weniger als der Remote Port. Entweder senden die Browser keinen User-Agent, er kann auch gefälscht sein oder ein Proxy filtert die Kennung heraus. Den Remote Port kann man nicht so einfach fälschen.
              Ich logge normalerweise nur IP und Zeit ggf noch eine Prüfung ob die IP einem bekannten Proxy Server gehört. Mit IP und Zeitpunkt könntest du es zumindest in Erwägung ziehen im Streitfall eine Anzeige zu machen.
              Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

              [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
              Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

              Kommentar


              • #8
                remote-port sollte man auch nicht entfernen .. sonst kommt ja nichts zurück
                user-agent kann man löschen/fälschen .. aber kann aufschlussreich sein wenn der user-agent gleich bleibt (oder nicht vorhanden ist) und die ip sich ständig ändert.

                wenn wir es ein wenig übertreiben sollen .. spielen wir noch snort (intrusion detection system) auf den server
                Gruß
                Uzu

                private Homepage

                Kommentar


                • #9
                  wenn wir es ein wenig übertreiben sollen .. spielen wir noch snort (intrusion detection system) auf den server
                  Au ja, lass uns das machen
                  Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                  [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                  Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                  Kommentar


                  • #10
                    UserAgent wird ja auch per default vom apache geloggt.
                    und userid finde ich gar nicht schlecht, weil ohne eine vorhandene UserID auf der Webseite selber gar nichts geht. Wenn der "Angreifer" dumm genug ist, während seinen Heldentaten eingeloggt zu sein, wärs doch ein schöner Vorteil ^^
                    Dass es gegen die Angriffe selber nichts nützt ist mir klar - aber ich danke für die Tipps wegen den Apacheeinstellungen, ich werde die mal unter die Lupe nehmen.

                    remote_port hast ja soeben gesagt, der würde einfach benutzt, also bringt mir loggen nichts da es beim client selber auch nicht geloggt wird.
                    Ich kann ja noch ein Cookie setzen ^^ Das wär doch ein netter Beweis :P *hihi*

                    snort probier ich mal aus

                    Gruss und Danke an alle
                    Onyx
                    Zuletzt geändert von Onyxagargaryll; 06.08.2008, 11:50.

                    Kommentar


                    • #11
                      Original geschrieben von UzumakiNaruto
                      aber kann aufschlussreich sein wenn der user-agent gleich bleibt (oder nicht vorhanden ist) und die ip sich ständig änder
                      Krass, auf meiner Seite ruft einer die ganze Zeit alle möglichen Seiten ab. Die IP ändert sich ständig, aber ich erkenn den an seinem XP und seinem Firefox!

                      scnr
                      [FONT="Helvetica"]twitter.com/unset[/FONT]

                      Shitstorm Podcast – Wöchentliches Auskotzen

                      Kommentar


                      • #12
                        snort war ein witz .. das ist overkill.

                        ein IDS überprüft alles was ins system kommt und informiert dich dann "he hier is jemand und macht komisches" wenn snort das erkennt kann er sogar selber gegenmaßnahmen ergreifen (ip sperren, honey pot liefern, etc).

                        erklären wir das mal mit den remote_ports genauer

                        Code:
                        - hansi öffnet den browser und gibt [url]http://www.php-resource.de[/url] ein
                        - der browser fragt das OS (operating system) nach einen verfügbaren port
                        - OS gibt dem browser die 12467
                        - browser sendet seine anfrage an en server von php-resource
                        (IP_VON_PHP_RESOURCE:80 ... schicke mir, REMOTE_IP:REMOTE_PORT (z.b. 81.100.100.100:12467), mal deine webseite)
                        - server sendet die webseite an 81.100.100.100:12467)
                        - browser gibt den port dem OS wieder damit sie wieder verfügbar ist.
                        wenn ein router dazwischen ist speichert er diese ports natürlich um die daten entsprechend weiterzuleiten .. wenn er PAT (port adress translation) kann, ändert er sogar den port, sollten 2 pcs im netzwerk mit der gleiche+port ankommen (kommt selten vor)

                        klarer???
                        Gruß
                        Uzu

                        private Homepage

                        Kommentar


                        • #13
                          Original geschrieben von unset
                          Krass, auf meiner Seite ruft einer die ganze Zeit alle möglichen Seiten ab. Die IP ändert sich ständig, aber ich erkenn den an seinem XP und seinem Firefox!

                          scnr
                          ist ja gut ... war ne blöde idee .. nur die paranoiden machen das
                          Gruß
                          Uzu

                          private Homepage

                          Kommentar


                          • #14
                            Ah ich verstehe, danke für deine Erklärung UzumakiNaruto.

                            Durch meine Unkenntnis von snort ist mir dieser Witz leider entgangen
                            Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort ist freie Software und mit über drei Millionen Downloads und 150.000 aktiven Benutzern (Angaben der Entwickler, Stand: Ende 2006) das weltweit am häufigsten eingesetzte IDS.
                            Dann hab ich aufgehört zu lesen. "Probieren wir mal aus - schaden kanns ja nix"


                            So ich danke allen für die Hilfe und den Spam und grüss herzlich
                            Onyx

                            Kommentar

                            Lädt...
                            X