Analiza logów pop3

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

andrew
Użytkownik
Posty: 29
Rejestracja: 2006-04-20, 18:46

Analiza logów pop3

Post autor: andrew » 2019-09-07, 18:22

Witam.
Szukam po sieci i nie moge nic znaleźć. Może ktos pomoże .Mam takiego loga :

Aug 22 03:50:32 ms26/ms26 dovecot: pop3-login: Notice: Login: pop3, pid=42758, user=<xxxx@xxxx.pl>, method=PLAIN, src=5.5.5.5, session=<eopB6qqQa+VTF/UB>
Aug 22 03:50:33 ms26/ms26 dovecot: pop3, pid=42758 user=<xxx@xxx.pl> session=<eopB6qqQa+VTF/UB> Notice: Disconnected: Logged out top=0/0, retr=0/0, del=0/32245, size=31908864893


Pojedyncze elementy są chyba logiczne : data , protokół ... . Ale czym jest :
ms26/ms26
pid=42758
session=<eopB6qqQa+VTF/UB>

i najważniejsze : na co wskazuje log ? Czy jest to info , ze dane ip ( src=5.5.5.5 ) klienta pocztowego ( np. mozilla thunderbird ) ściągnęło wiadomość z mojego serwera , z konta user=<xxxx@xxxx.pl> ?

Dzięki
Pozdrawiam
A.L.
andrew

Awatar użytkownika
Lizard
Moderator
Posty: 2570
Rejestracja: 2005-05-21, 15:48
Lokalizacja: miasto w mieście

Re: Analiza logów pop3

Post autor: Lizard » 2019-09-08, 10:07

Nie sprawdzałem, więc mogę się mylić, ale:
  • Pid jest chyba jasny - identyfikator procesu,
  • Session - identyfikator sesji - dzięki niemu wiesz, że wpisy o takim identyfikatorze dotyczą tego samego zdarzenia nawet, kiedy są wymieszane z innymi.
Wpis wygląda, jakby klient się zalogował, nie wykonał żadnej operacji i się wylogował.
ms26 nie jest przypadkiem nazwą hosta, serwera lub jakiejś usługi? Sprawdź, czy w /etc są pliki, które zawierają taki ciąg znaków.
Error 404 - footer not found

andrew
Użytkownik
Posty: 29
Rejestracja: 2006-04-20, 18:46

Re: Analiza logów pop3

Post autor: andrew » 2019-09-09, 09:52

Witam.
Dzięki. Podobnych logów mam kilka . Zaczynają się od 00:05 - 8:00 z jednym rozmiarem ( size=31908864893 ) , a następnie powtarzają od 16:20 - 20:00 ( inny niż wcześniej, ale wspólny size ) . Wpis " ms " zmienia się .
Może to być logowanie klienta poczty na komórce, sprawdzający, czy przyszła nowa wiadomość ? Czasami jest regularne łączenie dokładnie co 30 minut, a czasami co kilka sekund
Jaki był by wpis, jak by pobrał wiadomość ?

Dzięki
Pozdrawiam
andrew

ODPOWIEDZ