發佈日期: 發佈留言

LogAnalyzer 筆記

點閱: 24

筆記環境:WINDOWS + APPSERV + LogAnalyzer + QNAP Syslog Server

各個企業因早因應網通資安等法規事故,必須將公司運作的日誌檔案須妥善保存備份以供隨時備查,因為未來可能企業必須自行舉證並未違反法規。

LogAnalyzer為Adiscon公司(http://www.adiscon.com)所發行,其主要功能為分析各種日誌檔(例如Syslog messages、Windows Events Log等等)的軟體套件,可以運作於Windows及Unix-Like作業系統上,例如FreeBSD、Linux等等,並且採用第三版通用公共授權(GNU GPLv3)為其授權方式,因此可以自由使用來進行企業中Log分析之用。LogAnalyzer(http://loganalyzer.adiscon.com)一開始發布時並非使用此一名稱,而是採用「phpLogCon」的名稱進行發布,直到2010年時,該公司因為原本軟體名稱所帶來了一些困擾,最後決定採用開頭為其公司名稱,同時加上全新且顧名思義的名稱「Adiscon LogAnalyzer」,並且該公司承諾針對此軟體,將永遠採用GPLv3授權方式進行釋出,因此,Adiscon於2010年3月時,在發布穩定新版本v3.0的同時,便正式將軟體名稱改名為「LogAnalyzer」 LogAnalyzer為採用PHP程式語言所開發而成,可於網頁介面中查詢所收集到的相關日誌內容,例如Syslog、Windows Event Log、SNMP Trap等等。

簡而言之,只要系統支援網頁伺服器(例如Apache)及PHP語言便可快速建立,並且LogAnalyzer也支援使用者帳號控管機制(必須安裝資料庫)。若是在分析所收集到的日誌(Log)時,可以透過讀取「檔案」的方式進行即時查詢(Real-Time),並且可以將收集到的日誌內容存放至資料庫(例如MySQL)內進行分析。

服務 -> APACHE2 -> 登入頁 -> 把 登入身份 改選成 ⦿這個帳戶 然後輸入電腦使用者
$CFG[‘DiskAllowed’][] = “//192.168.6.253/nas”;
$CFG[‘Sources’][‘Source1’][‘DiskFile’] = ‘//192.168.6.253/nas/messages’;
$CFG[‘ViewUseTodayYesterday’] = 0;
$CFG[‘ViewMessageCharacterLimit’] = 0;
$CFG[‘ViewEntriesPerPage’] = 100;

自動取得目錄下所以 LOG 檔加到 Source
$Sid=1;
$files = glob(“//192.168.6.253/nas/messages*”);
rsort($files);
foreach($files as $msg){
$CFG[‘DefaultSourceID’] = ‘Source2’;
$CFG[‘Sources’][‘Source’.$Sid][‘ID’] = ‘Source’.$Sid;
$CFG[‘Sources’][‘Source’.$Sid][‘Name’] = str_replace(“//192.168.6.253/nas/messages_”,””,$msg); //’Source’.$Sid;
$CFG[‘Sources’][‘Source’.$Sid][‘Name’] = str_replace(“//192.168.6.253/nas/”,””,$CFG[‘Sources’][‘Source’.$Sid][‘Name’]); //’Source’.$Sid;
$CFG[‘Sources’][‘Source’.$Sid][‘ViewID’] = ‘SYSLOG’;
$CFG[‘Sources’][‘Source’.$Sid][‘SourceType’] = SOURCE_DISK;
$CFG[‘Sources’][‘Source’.$Sid][‘LogLineType’] = ‘syslog’;
$CFG[‘Sources’][‘Source’.$Sid][‘DiskFile’] = $msg;
$Sid++;
}

搜尋過濾關鍵詞(截錄 \classes\logstream.class.php v4.1.11)
* Handle filter based *
case “facility”:
case “severity”:
case “messagetype”:
* BEGIN Eventlog based fields *
case “eventid”:
case “eventcategory”:
case “eventlogtype”:
case “eventlogsource”:
case “eventuser”:
* ——————— *
case “syslogtag”:
case “source”:
case “datefrom”:
case “dateto”:
case “datelastx”:
case “timereported”:
case “processid”:
* BEGIN WebLog based fields *
case SYSLOG_WEBLOG_USER:
case SYSLOG_WEBLOG_METHOD:
case SYSLOG_WEBLOG_URL:
case SYSLOG_WEBLOG_QUERYSTRING:
case SYSLOG_WEBLOG_PVER:
case SYSLOG_WEBLOG_STATUS:
case SYSLOG_WEBLOG_BYTESSEND:
case SYSLOG_WEBLOG_REFERER:
case SYSLOG_WEBLOG_USERAGENT:

增加自動重載刷新時間 (\include\functions_common.php)
$content[‘reloadtimes’][$iCounter] = array( “ID” => $iCounter, “Selected” => “”, “DisplayName” => ” 2 ” . $content[‘LN_AUTORELOAD_MINUTES’], “Value” => 120 ); $iCounter++;

覺得這個贊助資訊有點礙眼,可以透過修改LogAnalyzer函數設定檔(functions_common.php)來關閉
$content[‘SHOW_DONATEBUTTON’] = false; // Default = true!
當然,若覺得LogAnalyzer日誌分析對自己有幫助,不妨考慮贊助LogAnalyzer計畫使開發者更有心力繼續下去,讓LogAnalyzer運作得更好。

介紹一套 free syslog Visual Syslog Server for Windows
https://github.com/MaxBelkov/visualsyslog

發佈日期: 發佈留言

VPN遠距辦公抗新冠肺炎

點閱: 47

防疫必須品 在家上班/分區上班 就靠VPN

遠距工作/遠程工作/遠端工作/VPN

中國武漢爆發的2019新型冠狀病毒引發的肺炎,世界衛生組織(WHO)2月11日將新冠肺炎定名為COVID-19(2019年冠狀病毒疾病)。

新冠肺炎傳染力凶猛,遠距辦公成企業維持營運、減輕疫情影響的重要工具,肺炎疫情爆發後,許多企業為避免進入辦公環境增添病毒傳染機會,因而尋求在家遠距辦公。

建置虛擬專用網路(VPN)促使遠端用戶透過公開網際網路進入公司的網路系統。

發佈日期: 發佈留言

Roundcube 筆記

點閱: 61

Roundcube WEBMAIL
Roundcube 其實算是很完善的一個 Webmail,本身加入了 Ajax 可以讓滑鼠搬移信件,安裝簡單,並且畫面做得不錯,雖然是 OpenSouree 但開發團隊非常的用心在經營。
Roundcube 僅支援 IMAP + SMTP
支援的Database有 : MsSql、MySql、Mysql5、Postgres、Sqllite

Roundcube Plugins
基本的Roundcube功能十分陽春,但可以外掛其他需要的功能模組,原始的Roundcube檔案已經附帶了一些外掛的模組,這些檔案存放在Roundcube資料夾下的plugins資料夾內。模組的啟用大多相當容易,先到Roundcube內的plugins資料夾下,找到想起用模組的資料夾名稱,接著到Roundcube內的config資料夾下開啟config.inc.php,找到以下這行
$config[‘plugins’] = array(”);
將想啟用的模組名稱加入上方的設定,例如:
$config[‘plugins’] = array(‘markasjunk’,’password’,’userinfo’,’zipdownload’);
接著到Roundcube內的plugins資料夾下,查看想開啟模組的對應資料夾下,是否有config.inc.php.dist 這支檔案,如果有,表示這個模組有些設定可以變更,請將config.inc.php.dist更名或複製成config.inc.php,再修改該模組資料夾下的config.inc.php內容即可。

archive 封存郵件
加入模組後,需在設定內的特殊資料夾下指定封存的資料夾
markasjunk 標示垃圾郵件
這個模組安裝後,介面上會多了一個垃圾郵件的按鈕,可以將指定的郵件移動至垃圾郵件的資料夾下
managesieve 篩選器
可以自訂郵件的篩選過濾條件,將目標郵件執行設定的動作,如搬移、複製或轉寄。
managesieve需安裝dovecot-managesieved dovecot-sieve元件:
sudo apt-get install dovecot-managesieved dovecot-sieve
在/etc/postfix/main.cf內新增
mailbox_command = /usr/lib/dovecot/dovecot-lda -d “$USER” -f “$SENDER” -a “$RECIPIENT”
修改/etc/dovecot/conf.d/15-lda.conf
protocol lda {
mail_plugins = $mail_plugins sieve

}
修改/etc/dovecot/conf.d/90-plugin.conf
plugin {
# setting_name = value
setting_name = sieve

}
重新啟動 postfix與dovecot

讓roundcube顯示使用者的quota:
修改/etc/dovecot/conf.d/10-mail.conf如下:
mail_plugins = $mail_plugins quota
修改/etc/dovecot/conf.d/20-imap.conf:
mail_plugins = $mail_plugins imap_quota
修改/etc/dovecot/conf.d/90-quota.conf
## Quota limits
plugin {
quota_rule = *:storage=3G
quota_rule2 = Trash:storage=+100M
quota_rule3 = SPAM:ignore
quota_grace = 10%%
}
## Quota warnings
plugin {
quota_warning = storage=95%% quota-warning 95 %u
quota_warning2 = storage=80%% quota-warning 80 %u
}
plugin {
quota = maildir:User quota
}

重新啟動 dovecot
須注意的是此處只是設定在roundcube上顯示的quota上限,實際上postfix的mailbox_size_limit還是在postfix的main.cf內設定!

password 變更密碼
這個模組可以讓使用者直接在網頁上修改自己的密碼。原始的設定是透過sql的語法去變更使用者密碼,但小弟功力太差,搞了半天就是搞不定,只好改用其他方法!在系統下安裝poppassd,透過它來變更使用者密碼。先安裝poppassd
sudo apt-get install poppassd
接著來到password資料夾下,將config.inc.php.dist複製一份並更名為config.inc.php
sudo cp config.inc.php.dist config.inc.php
接著編輯config.inc.php,找到以下這行:
$config[‘password_driver’] = ‘sql’;
並修改成
$config[‘password_driver’] = ‘poppassd’;
下方這幾項設定可以視需求修改
$config[‘password_minimum_length’] = 8; //密碼的最小長度
$config[‘password_require_nonalpha’] = false; //密碼至少需要含一個數字與一個標點符號
$config[‘password_log’] = true; //密碼的變更是否記錄log檔,若開啟會在 Roundcube下的logs資料夾內產生一個 password的log檔

userinfo 會在設定選項內多了一個”使用者資訊”的欄位

zipdownload 支援用zip的方是一次下載多個郵件附件
當郵件的附件有多個時,可以將多個附件用zip的方式打包一起下載。在zipdownload資料夾下,將config.inc.php.dist複製一份並更名為config.inc.php,編輯內容,找到下面這行
$config[‘zipdownload_charset’] = ‘ISO-8859-1’;
這裡可以指定zip檔案名稱的編碼,可以改成UTF-8,避免檔案名稱出現亂碼。
$config[‘zipdownload_charset’] = ‘UTF-8’;

試驗: Win10+Appserv+hMailServer+Roundcube 成功架設!

發佈日期: 發佈留言

更新後網路芳鄰(NAS)失效解決方式[筆記]

點閱: 1156

先使用管理者權限執行CMD
輸入下方指令
SC.EXE config lanmanworkstation depend=bowser/mrxsmb10/nsi
輸入下方指令
SC.EXE config mrxsmb20 start=disabled
重開機後,網路芳鄰裡的裝置就會再次出現了!

但這時只是裝置出現!要連進去還是連不進去
必須要做以下動作才能解決了https://www.youtube.com/watch?v=iHCu6lCWgSI

Windows 系統管理工具\服務 開啟後\

DNS Client 確定開啟
Function Discovery Provider Host 請啟動並由手動改成自動
Function Discovery Resource Publication 請啟動並由手動改成自動
SSDP Discovery 請啟動並由手動改成自動
UPnP Device Host 請啟動並由手動改成自動

搜尋windows 找 “Windows 功能” 點進 “開啟或關閉Windows 功能”
展開SMB 1.0/CIFS 檔案共用支援
勾選”SMB 1.0/CIFS 用戶端”
重啟電腦就可以連網路芳鄰了!!!

還有另一種可能,叫做「Guest access in SMB2 disabled by default」。不用把SMB改回1.0版,而是把登錄檔修改一個值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] => 修改或新增“AllowInsecureGuestAuth” = 1 (DWORD)

參考網路上找來的分享文。Windows 10 1709 無法存取QNAP Synology NAS網路芳鄰(SMB)

參考網路上找來的分享文喔
https://www.mobile01.com/topicdetail.php?f=300&t=5335865

微軟說明如下:

檔案總管網路瀏覽

電腦瀏覽器服務需要 SMBv1 通訊協定,才能填入 Windows 檔案總管節點 (又稱為 [網路上的芳鄰])。 此舊版通訊協定早已過時、不再路由傳送,並且安全性有限。 由於服務沒有 SMBv1 就無法運作,因此也一併移除。

然而,如果您在家中及小型企業工作群組環境中,仍必須使用檔案總管網路,才能找出 Windows 電腦,您可以在不再使用 SMBv1 的 Windows 電腦上執行下列步驟:

啟動 [功能探索提供者裝載服務] 和 [功能探索資源發佈服務],然後將這兩個服務設定為 [自動 (延遲啟動)]。 當您開啟檔案總管網路時,若出現提示時,請啟用網路探索。

該子網路內,所有具有這些設定的 Windows 裝置都會出現在 [網路] 中,以供瀏覽。 這是使用 WS-DISCOVERY 通訊協定。 Windows 裝置出現之後,如果您的其他廠商和製造商仍未出現在這個瀏覽清單中,請與他們連絡。 可能是他們已停用這個通訊協定,或者他們只支援 SMBv1。

注意:建議您對應磁碟機和印表機,而不要啟用這個功能,因為這個功能仍需要搜尋和瀏覽其裝置。 對應的資源比較容易尋找、需要的訓練較少,並且使用起來較為安全。 如果這些資源是透過群組原則自動提供,尤其如此。除了舊版電腦瀏覽器服務以外,系統管理員還可以使用 IP 位址、Active Directory Domain Services (AD DS)、Bonjour、mDNS、uPnP 等方法,為印表機設定位置。

如果您無法使用上述任何因應措施,或者應用程式製造商無法提供支援的 SMB 版本,您可以依照 KB 2696547 中的步驟執行,手動重新啟用 SMBv1。

重要:強烈建議您,不要重新安裝 SMBv1, 因為這個舊版通訊協定已知具有與勒索軟體和其他惡意程式碼相關的安全性問題。
可參考連結如下:
https://support.microsoft.com/zh-tw/help/4034314/smbv1-is-not-installed-by-default-in-windows

發佈日期: 發佈留言

UBLink UMail 常用的 Port

點閱: 6

UBLink UMail 當架設在 Vigor 寬頻防火牆路由器 後方時, 常開的 Port 有:

•SMTP tcp/25
•SMTPs tcp/465
•SMTPs tcp/587
•POP3 tcp/110
•POP3s tcp/995
•IMAP tcp/143
•IMAPs tcp/993
•HTTPS web manager tcp/88
•HTTPS web Mail tcp/443
•DNS udp/53
•Web tcp/80
•SSH tcp/22
•FTP tcp/21
•NTP tcp/123
•LDAP tcp/389
•LDAPs tcp/636
•Proxy Server tcp/3128

發佈日期: 發佈留言

虛擬IP轉實體IP(3G/4G/LTE/社區網路)

點閱: 1152

4G/LTE/公司/社區網路虛擬IP轉實體IP方案

解決3G/4G非真IP要使用手機監看DVR/NVR/IPCam問題

若遇到Server架在山邊海角的,且手機電信商又不給申請真實的固定IP(Public IP),這些在4G LTE 行動網路或社區網路都是使用虛擬IP(Private IP),因此無法讓Server可以在真實的網路下存取。這時候只有一個方法,就是將Server端的流量全部導到有實體IP(Public IP)的VPN路由器,使用VPN Port Forwarding即可達到該效果。