Guten Tag,

Gibt es für "normale" Serverzugriffe überhaupt Logfiles bei Linux-Servern?

Ich definiere "normale Serverzugriffe" mal als Login(versuch) als ein bestimmter Benutzer: Ja, das kann man loggen. Je nach Distribution werden auch ein dedizierter Logfile geschrieben, oft /var/log/auth oder /var/log/auth.log.

Veränderungen an lokalen Dateien kann man mit Tripwire oder AIDE überwachen.

Wenn ich so ein System planen müsste, dann würde ich die zweite Maschine die Diesnte der ersten kritischen überwachen lassen, z.B. mit iptraf. Das kann dann jegleiche Zugriffe und Antworten loggen. Die müssen dann mit einem hochintelligenten Programm ausgewertet werden.

Nennt sich IDS, Intrusion Detection System.

Leider ist auch eine 100GByte-Platte recht schnell voll, wenn man alles aufhebt. Man müsste also die Logfiles so geschickt aussieben, dass man den ganzen Allgemeinmüll erkennt und schon nach kurzer Zeit rauslöschen kann.

Das machen IDS.

Sicherlich gibt es da auch Systeme im professionellen Bereich. Davon kann ich mir aber noch nicht einmal die Kurzdoku leisten.

Snort oder Samhain sind nicht nur OSS, sondern sogar kostenlos.

Gruß
Christoph Jeschke