thank you  erveryone ....
 
this  problem  resolved  with helping of everyone
my mistake 1 :
mlogc install wrong
my mistake 2:
sudo chmod  -R 755  /var/logs/mlogc/data/  it`s  wrong
i havet to  sudo chmod -R 755  /var/logs/mlogc/data   then  it`s working properly
compare to  "sudo chmod  -R 755  /var/logs/mlogc/data/ " and " sudo chmod -R 755  /var/logs/mlogc/data "
the  first  just more "/" but  it`s tell me (Permission denied)
when i  input  command   help with  the key of Tab , it  /var/logs/mlogc/data  auto to  /var/logs/mlogc/data/
this problem is too little  ,to  i can  not find it...
 
thank you so much for help of everyone !!!
 
next  i will be lean more and more  the rules of  mod-security
 
 
--
pp.park


在2010-05-26,"Brian Rectanus" <Brian.Rectanus@breach.com> 写道: >On 05/25/2010 06:35 PM, � wrote: >> hi! >> i have some quetion.... >> first  i am sorry  my english very poor ,  i hope some one help me, >>   >> i have finished install mod-security in the ubuntu 10.04 >> when i test loging of attacking  ,there is not proberm. >> but when i install mlogc 2.5.12  for modsecurity-console  there is some >> question. > >Good.  I am on 10.04 x86_64, so I know it should build correctly. > >> i finished install  mlogc >> and  i attack the server there is not  log in the /var/log/mlogc >> so i  read the log of modsec_debug.log ,i find (Permission denied) >> so i  do  " chmod -R 755 /var/log/mlogc" then i find  some attacking >> log only  in the  /var/log/mlogc/data > >These type files? > >/var/log/mlogc/data/20100211/20100211-1417/20100211-141721-S3SB8X8AAQEAAAOkHIAAAAAC > >They are written by ModSecurity, not mlogc.  Only read by mlogc. > >>   >> question 1 : >> But  in the /var/log/mlogc/data  no   >> mlogc-transaction.log&mlogc-queue.log&mlogc-error.log&mlogc.lck > >Those should be in /var/log/mlogc, not the data dir. > >> question 2: >> when i run ./mlogc  it is tell me >> Usage: ./mlogc <rootdir> </path/to/mlogc> <mlogc_config> >> but more mlogc INSTALL document  >>  SecAuditLog "|/usr/local/bin/mlogc /etc/mlogc.conf"  there is not  >> <rootdir> </path/to/mlogc>. >> which is i use ? > >I think that it is an older version of mlogc?  The 2.5.12 version shows >this: > >$ cd modsecurity-apache_2.5.12/apache2 >$ make mlogc >make[1]: Entering directory >`/home/brectanus/projects/modsec/build/modsecurity-apache_2.5.12/apache2/mlogc-src' > >Building dynamically linked mlogc... > >Build finished.  Please follow the INSTALL instructions to complete the >install. > >make[1]: Leaving directory >`/home/brectanus/projects/modsec/build/modsecurity-apache_2.5.12/apache2/mlogc-src' > >Successfully built "mlogc" in ../tools. >See: mlogc-src/INSTALL > >$ ../tools/mlogc >ModSecurity Log Collector (mlogc) v2.5.12 >   APR: compiled="1.3.8"; loaded="1.3.8" >  PCRE: compiled="7.8"; loaded="7.8 2008-09-05" >  cURL: compiled="7.19.7"; loaded="libcurl/7.19.7 OpenSSL/0.9.8k >zlib/1.2.3.3 libidn/1.15" > > >> question 3: >> when i start  modsecurity-console   ,and login modsecurity-console   web >> , but there is not some log. >>   >> what  can  i do  for  deal with this question ! > >Probably because mlogc is not working :) > >>   >>   >> ------------------------------------------------------------------ >> more mlogc.conf >> ------------------------------------------------------------------ >> CollectorRoot       "/var/log/mlogc" >> ConsoleURI          "https://192.168.80.142:8888/rpc/auditLogReceiver" >> SensorUsername      "test" >> SensorPassword      "sensor" >> LogStorageDir       "data" >> TransactionLog      "mlogc-transaction.log" >> QueuePath           "mlogc-queue.log" >> ErrorLog            "mlogc-error.log" >> LockFile            "mlogc.lck" >> KeepEntries         0 >> ErrorLogLevel       3 > > >Here, /var/log/mlogc should have these: > >mlogc-error.log >mlogc-queue.log >mlogc-transaction.log > >mlogc.lck is not generally used except on older platforms that require >an actual lock *file*. > >The data dir is where mlogc should find the audit log structure. > >> ------------------------------------------------------------------ >> more modsecurity_crs_10_config.conf >> ------------------------------------------------------------------ >>   >> SecAuditLogType Concurrent >> SecAuditLogStorageDir /var/log/mlogc/data >> SecAuditLog "|/opt/mlogc-2.5.12/mlogc /var/log/apache2/ >> /var/log/mlogc/mlogc /opt/mlogc-2.5.12/mlogc.conf" > >Should be: > >SecAuditLog "|/opt/mlogc-2.5.12/mlogc /opt/mlogc-2.5.12/mlogc.conf" > >And of course: > >SecAuditEngine RelevantOnly > >(but sounds like ModSecurity is working, just not mlogc) > >What is the output of: /opt/mlogc-2.5.12/mlogc -v?  On 10.04 it should >probably be the same as mine if you are using the installed dependencies: > >ModSecurity Log Collector (mlogc) v2.5.12 >   APR: compiled="1.3.8"; loaded="1.3.8" >  PCRE: compiled="7.8"; loaded="7.8 2008-09-05" >  cURL: compiled="7.19.7"; loaded="libcurl/7.19.7 OpenSSL/0.9.8k >zlib/1.2.3.3 libidn/1.15" > >-B > >--  >Brian Rectanus >Breach Security >



网易为中小企业免费提供企业邮箱(自主域名)