FreeBSDの"LOGIN FAILURE"のログはどこに？

FreeBSD3.4を使っています。
rootユーザにdaemonから毎日送られてくるメール
(Subject: thishost.xxx.jp security check output)
の中の項目に

thishost.xxx.jp login failures:
Sep 12 11:52:35 hostname login: 1 LOGIN FAILURE ON ttyv0
Sep 13 14:12:20 hostname login: 1 LOGIN FAILURE FROM thishost
:

というのがあるのですが
随分前のログイン失敗記録が毎日送られ続けています。

このログはどこかのファイルに記録されているのだと思うのですが
そのファイルがどこにあるか教えていただけないでしょうか。

また、
・そのログファイルは内容を（または、ファイルごと）消去してもかまわないものなのか、
・この類のメールを停止できるのか
　（停止しても問題なければ）
についても、教えていただけたらと思います。

基本的なことで申し訳ありませんが、よろしくお願い致します。

No.3 ベストアンサー 回答者： punchan_jp 回答日時： 2001/10/02 21:53

遅くなりましたが…

3.4 は手元にないので、若干相違があるかもしれませんが、
手元の 3.2 では、/etc/crontab で periodic daily を実行して、
この結果をそのまま sendmail に食わせています。
これが、daily run output として来るメールです。

ですが、/etc/security の結果は、
/etc/periodic/daily/450.status-security
が独自に sendmail に渡しているようですね。
こっちが、security check output です。

ですので、cron 云々じゃなくて、
/etc/periodic/daily/450.status-security
を変更してやる必要があります。
具体的には、このファイル内に
sh /etc/security 2>&1 | sendmail root
という行がありますが、これを
sh /etc/security >/var/log/security.log 2>&1
としてやればいいです。
ただし、これでは毎日上書きされてしまいますので、
sh /etc/security >/var/log/security.log.`date +%d` 2>&1
とかにしておくと、過去1ヶ月分は保存されるようになります。
date +%d は、その日の日付です。

この回答への補足

たびたびすみません。

昨日、
/etc/periodic/daily/450.status-security
の内容を
sh /etc/security >/var/log/security.log.`date +%d` 2>&1
に書き換えてみました。
＃連休まえに`date +%d`でなく'date +%d'で書いてしまってました。

今朝、会社に来てみると
/var/log/securityt.log.11 なるファイルが作成され、
その中に /etc/security の結果が書かれていました。

けれど、rootに/etc/securityのメールは送り続けられています。
punchan_jpさんの3.2と私の3.4の構成が違うのでしょうか？

ちなみに、毎日届いているのは
login failureなどが書かれた『hostname.co.jp security check output』なるサブジェクトのものと、
ハードディスクの状態などが書かれた『hostname.co.jp daily run output』です。

補足日時：2001/10/11 08:47

この回答へのお礼

ログをsendmailではなくファイルに出力するわけですね。
　sh /etc/security >/var/log/security.log.`date +%d` 2>&1
の日付を囲んでる記号が後ろ向きダッシュ（`）でよいのでしょうか。
土日月＆翌火曜日は会社が休みなので
そのあとにチェックしてみます。

意図する出力結果が得られたかどうか、
報告させていただきますね。

ありがとうございました。m(_ _)m

お礼日時：2001/10/05 09:32

No.4 回答者： punchan_jp 回答日時： 2001/10/15 12:37

ログがファイルに記録されるだけでなく、メールでも来るということでしょうか？

/etc/periodic/daily/450.status-security の変更時に、
該当行の変更ではなく、追加をしていませんか？

そうでないとすると、ちょっとわかりません。

この回答へのお礼

えぇ。
/var/log/security.log.16（本日作成分）のようなファイルができており、
rootユーザにもメッセージが送られ続けてきています。
「再設定してからリブートかけていなかったかな？」
と思ってリブートしてみましたが、
既にリブート済みだったようで、結果は変わりませんでした。。。

もうちょっと…いや、もっと×２勉強して
いつの日か(?)解決したいと思います。
長々と御丁寧にありがとうございました！！ m(_ _)m

お礼日時：2001/10/16 09:22

No.2 回答者： punchan_jp 回答日時： 2001/09/28 14:46

3.x の場合、/etc/security が関連するスクリプトですが、これが

/var/log/messages の中から、重要なパターンにマッチするものを
ピックアップし、該当するものだけがメールに記載されます。

具体的には、
LOGIN FAILURE
と、
REFUSED CONNECT
という文字列がある行です。

この回答への補足

/etc/securityに
login failureとrefused connectに関するログを表示させるようなものを見つけました。
これがメールにログを表示させてたんですね。

/var/log/messagesの最古のログは11 Sepでしたので
12 Sepのログはそろそろ来なくなるんですね。

原因がわかってほっとしています。
ありがとうございました。

それと、前回の回答で
> メールの停止は、cron で sendmail を呼ばずにファイルに入れるなり、
> /dev/null に捨てるなりすれば可能です。4.x では別の設定ファイルをいじれ
> ば可能です。外部から攻撃される可能性がないマシンであれば、捨ててもいい
> でしょう。
とあるのですが、cronでsendmailを呼ばずにファイルに入れるとは
どうすればよいのでしょうか。
その場合、このログメール（？）だけでなく
他のメールもファイルに入ってしまうんですよね？

再三、申し訳ありません。
よろしくお願い致します。

補足日時：2001/10/01 09:37

No.1 回答者： punchan_jp 回答日時： 2001/09/28 12:05

/var/log/messages に記録されており、cron の periodic daily 内でチェッ

クされ、メールされます。

/var/log/messages は、cron で起動される newsyslog が、newsyslog.conf
に設定された条件を満たしたときに、名前を変えて数回分が保存され、ファイ
ルが空にもどされます。デフォルトでは /var/log/messages は 100KB に達し
たらローテートされるようになっていると思います。ですから、
/var/log/messages に記録される内容があまりなければ、なかなか 100KB に
なりませんので、何度もチェックされてメールされるというわけです。

ある程度の期間は、過去の /var/log/messages を保存しておく方がいいと思
いますから、100KB ごとではなく、例えば毎日更新し、ただし保持回数を30回
くらいとしておくのはいかがでしょうか？
それには、/etc/newsyslog.conf の該当する行を
/var/log/messages　664　30　*　24　Z
のようにすればいいと思います。

メールの停止は、cron で sendmail を呼ばずにファイルに入れるなり、
/dev/null に捨てるなりすれば可能です。4.x では別の設定ファイルをいじれ
ば可能です。外部から攻撃される可能性がないマシンであれば、捨ててもいい
でしょう。

この回答への補足

/var/log/messagesをみたところ、たくさんのログの記録を確認できました。
しかし、メールで毎日送られる内容は
　LOGIN FAILURE　
の記録のみで、
　誰がログイン／シャットダウンした
　ハードウェアの使用部品（？）
等のログは送られてきていません。
ログイン失敗の記録のみが別のファイルに入っているのでしょうか。。。

補足日時：2001/09/28 13:42