Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:arpwatch_archlinux

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
tachtler:arpwatch_archlinux [2021/09/19 09:47] – [Dienst: postfix.service einrichten] klaustachtler:arpwatch_archlinux [2022/03/31 05:35] (aktuell) – [Installation] klaus
Zeile 16: Zeile 16:
 | changed ethernet address    | Die Ethernet Adresse hat sich geändert                                                                | | changed ethernet address    | Die Ethernet Adresse hat sich geändert                                                                |
  
-Folgende ''syslog''-Nachrichten werden mindestens protokolliert:+Folgende ''journald''-Nachrichten werden mindestens protokolliert:
  
 ^ Nachricht                   ^ Beschreibung                                                                                          ^ ^ Nachricht                   ^ Beschreibung                                                                                          ^
Zeile 44: Zeile 44:
  
 Folgender Befehl ist zur Installation auszuführen: Folgender Befehl ist zur Installation auszuführen:
 +<code>
 +# pacman -S arpwatch
 +</code> 
 +++++ Installationsverlauf |
 <code> <code>
 # pacman -S arpwatch # pacman -S arpwatch
Zeile 98: Zeile 102:
 ==> root: 27 ==> root: 27
 </code> </code>
 +++++
  
 Mit nachfolgendem Befehl kann überprüft werden, was der Inhalt des Pakets ''arpwatch'' war und was und vorallem wo installiert wurde: Mit nachfolgendem Befehl kann überprüft werden, was der Inhalt des Pakets ''arpwatch'' war und was und vorallem wo installiert wurde:
 +<code>
 +# pacman -Qil arpwatch
 +</code> 
 +++++ Installierte Dateien |
 <code> <code>
 # pacman -Qil arpwatch # pacman -Qil arpwatch
Zeile 145: Zeile 154:
 arpwatch /var/lib/arpwatch/ethercodes.dat arpwatch /var/lib/arpwatch/ethercodes.dat
 </code> </code>
 +++++
  
 ===== Konfiguration ===== ===== Konfiguration =====
Zeile 166: Zeile 176:
 # Tachtler # Tachtler
 # default: After=network.target # default: After=network.target
-After=network.target postfix.service+After=network.target network-online.target postfix.service 
 +# Tachtler - new - 
 +Wants=network-online.target
  
 [Service] [Service]
Zeile 184: Zeile 196:
 Nachfolgende Parameter wurden zum Aufruf von ''/usr/bin/arpwatch'' hinzugefügt: Nachfolgende Parameter wurden zum Aufruf von ''/usr/bin/arpwatch'' hinzugefügt:
  
-  * <code ini>After=network.target postfix.service</code>+  * <code ini>After=network.target network-online.target postfix.service 
 +Wants=network-online.target 
 +</code>
  
-Der Service soll nicht nur nach dem Start des Netzwerkes, sondern auch erst nach dem Start des Dienstes [[http://www.postfix.org/|Postfix]] gestartet werden.+Der Service soll nicht nur nach dem Start des Netzwerkes, sondern auch erst nach dem das Netzwerk ativ ist und nach dem Start des Dienstes [[http://www.postfix.org/|Postfix]] gestartet werden.
  
   * <code ini>-D /var/lib/arpwatch</code>   * <code ini>-D /var/lib/arpwatch</code>
Zeile 367: Zeile 381:
 Sep 19 09:41:54 server systemd[1]: Started Watch ARP on interface eth1. Sep 19 09:41:54 server systemd[1]: Started Watch ARP on interface eth1.
 Sep 19 09:41:54 server arpwatch[64363]: listening on eth1 Sep 19 09:41:54 server arpwatch[64363]: listening on eth1
 +</code>
 +
 +===== ARPWatch überprüfen =====
 +
 +==== ARPWatch: /var/lib/arpwatch/[interface].dat ====
 +
 +In der Datei, hier z.B. 
 +  * ''/var/lib/arpwatch/eth0.dat'' bzw. 
 +  * ''/var/lib/arpwatch/eth1.dat''
 +werden standardmäßig alle Ethernet-MAC/IP-Adressen-Paare und zusätzliche Informationen wie ''unix''-Zeitstempel und ''hostname'' des Rechners abgelegt, hier ein Auszug daraus:
 +<code ini>
 +52:54:00:00:00:10 192.168.0.10 1632037980 server
 +52:54:00:3d:4c:3e 192.168.0.1 1632037980      _gateway
 +</code>
 +
 +==== ARPwatch: E-Mail ====
 +
 +Ein e-Mail-Benachrichtigung könnte wie folgt aussehen:
 +<code>
 +   Date: Sun, 19 Sep 2021 09:47:35 +0200 (CEST)
 +   From: arpwatch@tachtler.net (Arpwatch)
 +     To: root@tachtler.net
 +Subject: new station (server.tachtler.net)
 +
 +            hostname: server.tachtler.net
 +          ip address: 192.168.0.10
 +    ethernet address: 52:54:00:01:00:10
 +     ethernet vendor: Fujitsu Siemens Computers
 +           timestamp: Sunday, September 19, 2021 9:47:35 +0200
 +</code>
 +
 +==== ARPwatch: journald ====
 +
 +Meldungen im ''journald'' könnten wie folgt aussehen: (**nur relevanter Ausschnitt**)
 +<code>
 +# journalctl -u arpwatch*
 +...
 +Sep 19 09:53:01 server arpwatch[64341]: new station 192.168.0.10 52:54:00:00:00:10
 +Sep 19 09:53:01 server arpwatch[64341]: new station 192.168.0.1 52:54:00:3d:4c:3e
 </code> </code>
  
tachtler/arpwatch_archlinux.1632037648.txt.gz · Zuletzt geändert: 2021/09/19 09:47 von klaus