home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / vmsnet / sysmgt / 422 < prev    next >
Encoding:
Internet Message Format  |  1992-12-24  |  2.5 KB
  1. Path: sparky!uunet!usc!sdd.hp.com!spool.mu.edu!sol.ctr.columbia.edu!ucselx!crash!cmkrnl!jeh
  2. From: jeh@cmkrnl.com
  3. Newsgroups: vmsnet.sysmgt
  4. Subject: Re: HELP: Attempted break-ins?
  5. Message-ID: <1992Dec23.230849.1007@cmkrnl.com>
  6. Date: 23 Dec 92 23:08:49 PST
  7. References: <1992Dec18.145352.16583@vax5.cit.cornell.edu>
  8. Distribution: vmsnet
  9. Organization: Kernel Mode Consulting, San Diego, CA
  10. Lines: 42
  11.  
  12. In article <1992Dec18.145352.16583@vax5.cit.cornell.edu>, yqdx@vax5.cit.cornell.edu writes:
  13. >   Are there techniques for
  14. > logging the origin of attempted logins, and/or all logins in general?
  15.  
  16. Yes, and it's already being done for you, unless someone has disabled it. 
  17.  
  18. Try the ACCOUNTING command.  HELP ACCOUNTING should give you an idea of the
  19. possibilities.  ACCOUNTING/TYPE=(LOGFAIL,PROCESS) is probably a good place to
  20. start.  Add /FULL to get more information.  Add /SINCE=time and /BEFORE=time
  21. to bracket a particular time period.  Add /USER=username to see entries for
  22. just one user.  (Note that this will suppress login failure messages where no
  23. username was recorded.)
  24.  
  25. (One thing which is not recorded, unfortunately, is the terminal server and 
  26. port name for logins (and attempted logins) via LAT ports.)
  27.  
  28. While we're on the subject, you should do 
  29.  
  30.     $ set accounting/new
  31.  
  32. periodically, say once a day or once a week or so.  This closes out the current
  33. accounting file (SYS$SPECIFIC:[SYSMGR]:ACCOUNTNG.DAT - note that it is not
  34. ...:ACCOUNTING.DAT) and starts a new one.  Unless you do this periodically 
  35. you will have one giant file which will take forever to search through (unless
  36. you have a very quiet system). 
  37.  
  38. It is almost always a good idea to back these files up to special archive tapes
  39. which are explicitly kept forever (rather than relying on the regular system
  40. backups) and then delete the ones that are too old to be of interest most of
  41. the time. 
  42.  
  43. There are several manuals in the System Management portion of the VMS Extended
  44. Documentation Set which you should read.  _Guide to VMS System Security_ and
  45. the _VMS Accounting Utility_ manual come to mind.  Check the _System Management
  46. Master Index_ for other references to the accounting log file. 
  47.  
  48.     --- Jamie Hanrahan, Kernel Mode Consulting, San Diego CA
  49. drivers, internals, networks, applications, and training for VMS and Windows-NT
  50. uucp 'g' protocol guru and release coordinator, VMSnet (DECUS uucp) W.G., and 
  51. Chair, Programming and Internals Working Group, U.S. DECUS VMS Systems SIG 
  52. Internet:  jeh@cmkrnl.com, hanrahan@eisner.decus.org, or jeh@crash.cts.com
  53. Uucp:  ...{crash,eisner,uunet}!cmkrnl!jeh
  54.