[ править ]

Журнал лабораторных работ

Содержание

Журнал

Вторник (11/14/06)

Файлы
Статистика
Справка
О программе

Журнал

Вторник (11/14/06)

/dev/pts/14

12:06:48

#tail -f /tmp/arplog

0:a:1:d4:d1:39 -> 37 Fa0/23(192.168.15.200)
0:a:1:d4:d3:6f -> 35 Fa0/21(192.168.15.200)
get-port-by-mac done
Pomenyalsya adres Nov 14 12:05:53 linux2 arpwatch: changed ethernet address 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
0:a:1:d4:d3:6f -> 35 Fa0/21(192.168.15.200)
get-port-by-mac 0:a:1:d4:d3:6f done

12:12:43

#tail -f /tmp/arplog

0:a:1:d4:d1:39 -> 37 Fa0/23(192.168.15.200)
0:a:1:d4:d3:6f -> 35 Fa0/21(192.168.15.200)
get-port-by-mac done
Pomenyalsya adres Nov 14 12:05:53 linux2 arpwatch: changed ethernet address 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
0:a:1:d4:d3:6f -> 35 Fa0/21(192.168.15.200)
get-port-by-mac 0:a:1:d4:d3:6f done

12:12:49

#tail /var/log/syslog

Nov 14 12:09:01 linux2 /USR/SBIN/CRON[9535]: (root) CMD (  [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Nov 14 12:09:01 linux2 /USR/SBIN/CRON[9536]: (root) CMD (  [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm)
Nov 14 12:11:33 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:11:34 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:11:35 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:12:23 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:12:35 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:12:45 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:12:46 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:12:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:12:54

#less /var/log/syslog

12:15:23

#vi /usr/local/bin/myscript

6c6
< echo $line | grep -q 'arpwatch: changed ethernet address' && echo Pomenyalsya adres $line >> /tmp/arplog
---
> echo $line | grep -q 'arpwatch: flip flop' && echo Pomenyalsya adres $line >> /tmp/arplog
8c8
< echo ip=$9 >> /tmp/arplog
---
> echo ip=$8 >> /tmp/arplog
10,11c10,11
< echo mac=$9 >> /tmp/arplog
< echo get-port-by-mac $9 >> /tmp/arplog
---
> echo mac=$8 >> /tmp/arplog
> echo get-port-by-mac $8 >> /tmp/arplog
13c13
< echo get-port-by-mac $9 done >> /tmp/arplog
---
> echo get-port-by-mac $8 done >> /tmp/arplog

12:15:54

#/etc/init.d/syslog-ng

Stopping system logging: syslog-ng.
Starting system logging: syslog-ng.

12:15:58

#tail -f /tmp/arplog

0:a:1:d4:d3:6f -> 35 Fa0/21(192.168.15.200)
get-port-by-mac 0:a:1:d4:d3:6f done
ip=up;
mac=version='2.0rc3'
get-port-by-mac version='2.0rc3'
STARTED
0:4:76:a1:f2:5a -> 36 Fa0/22(192.168.15.200)
0:4:c1:4d:37:c0 -> 40 VL1(192.168.15.200)
0:4:c1:4d:37:c1 -> 13 Fa0/1(192.168.15.200)
0:4:c1:4d:37:c2 -> 14 Fa0/2(192.168.15.200)
...
0:4:c1:4d:37:d2 -> 32 Fa0/18(192.168.15.200)
0:4:c1:4d:37:d3 -> 33 Fa0/19(192.168.15.200)
0:4:c1:4d:37:d4 -> 34 Fa0/20(192.168.15.200)
0:4:c1:4d:37:d5 -> 35 Fa0/21(192.168.15.200)
0:4:c1:4d:37:d6 -> 36 Fa0/22(192.168.15.200)
0:4:c1:4d:37:d7 -> 37 Fa0/23(192.168.15.200)
0:4:c1:4d:37:d8 -> 38 Fa0/24(192.168.15.200)
0:a:1:d4:d1:39 -> 37 Fa0/23(192.168.15.200)
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)
get-port-by-mac version='2.0rc3' done

12:16:41

#tail /var/log/syslog

Nov 14 12:12:45 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:12:46 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:12:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:15:11 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:15:58 linux2 syslog-ng[9323]: SIGTERM received, terminating;
Nov 14 12:15:58 linux2 syslog-ng[9323]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:15:58 linux2 syslog-ng[9679]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:16:31 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:44 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:45 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:16:46

#tail -f /tmp/arplog

0:4:c1:4d:37:d2 -> 32 Fa0/18(192.168.15.200)
0:4:c1:4d:37:d3 -> 33 Fa0/19(192.168.15.200)
0:4:c1:4d:37:d4 -> 34 Fa0/20(192.168.15.200)
0:4:c1:4d:37:d5 -> 35 Fa0/21(192.168.15.200)
0:4:c1:4d:37:d6 -> 36 Fa0/22(192.168.15.200)
0:4:c1:4d:37:d7 -> 37 Fa0/23(192.168.15.200)
0:4:c1:4d:37:d8 -> 38 Fa0/24(192.168.15.200)
0:a:1:d4:d1:39 -> 37 Fa0/23(192.168.15.200)
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)
get-port-by-mac version='2.0rc3' done

12:17:00

#vi /usr/local/bin/myscript

12:17:07

#tail -f /tmp/arplog

0:4:c1:4d:37:d2 -> 32 Fa0/18(192.168.15.200)
0:4:c1:4d:37:d3 -> 33 Fa0/19(192.168.15.200)
0:4:c1:4d:37:d4 -> 34 Fa0/20(192.168.15.200)
0:4:c1:4d:37:d5 -> 35 Fa0/21(192.168.15.200)
0:4:c1:4d:37:d6 -> 36 Fa0/22(192.168.15.200)
0:4:c1:4d:37:d7 -> 37 Fa0/23(192.168.15.200)
0:4:c1:4d:37:d8 -> 38 Fa0/24(192.168.15.200)
0:a:1:d4:d1:39 -> 37 Fa0/23(192.168.15.200)
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)
get-port-by-mac version='2.0rc3' done

12:17:10

#tail /var/log/syslog

Nov 14 12:12:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:15:11 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:15:58 linux2 syslog-ng[9323]: SIGTERM received, terminating;
Nov 14 12:15:58 linux2 syslog-ng[9323]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:15:58 linux2 syslog-ng[9679]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:16:31 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:44 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:45 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:46 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:01 linux2 /USR/SBIN/CRON[9795]: (root) CMD (   run-parts --report /etc/cron.hourly)

12:17:15

#tail /var/log/syslog

Nov 14 12:12:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:15:11 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:15:58 linux2 syslog-ng[9323]: SIGTERM received, terminating;
Nov 14 12:15:58 linux2 syslog-ng[9323]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:15:58 linux2 syslog-ng[9679]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:16:31 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:44 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:45 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:46 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:01 linux2 /USR/SBIN/CRON[9795]: (root) CMD (   run-parts --report /etc/cron.hourly)

12:17:24

#tail -f /var/log/syslog

Nov 14 12:12:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:15:11 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:15:58 linux2 syslog-ng[9323]: SIGTERM received, terminating;
Nov 14 12:15:58 linux2 syslog-ng[9323]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:15:58 linux2 syslog-ng[9679]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:16:31 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:44 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:45 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:46 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:01 linux2 /USR/SBIN/CRON[9795]: (root) CMD (   run-parts --report /etc/cron.hourly)
Nov 14 12:17:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:48 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:49 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:28 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:18:53

#arp -an

? (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0
? (192.168.15.254) at 00:0A:01:D4:D1:39 [ether] on eth0
? (192.168.15.200) at 00:04:C1:4D:37:C0 [ether] on eth0

12:18:55

#vi /usr/local/bin/myscript

6c6
< echo $line | grep -q 'arpwatch: flip flop' && echo Pomenyalsya adres $line >> /tmp/arplog
---
> echo $line | grep -q 'arpwatch: ethernet mismatch' && echo Pomenyalsya adres $line >> /tmp/arplog

12:19:12

#vi /usr/local/bin/myscript

6c6
< echo $line | grep -q 'arpwatch: ethernet mismatch' && echo Pomenyalsya adres $line >> /tmp/arplog
---
> echo $line | grep -q 'arpwatch: ethernet mismatch' || next

12:19:41

#tail -f /var/log/syslog

Nov 14 12:16:44 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:45 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:16:46 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:01 linux2 /USR/SBIN/CRON[9795]: (root) CMD (   run-parts --report /etc/cron.hourly)
Nov 14 12:17:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:48 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:49 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:28 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:19:46

#/etc/init.d/syslog-ng restartrestart

Usage: /etc/init.d/syslog-ng {start|stop|restart|reload|force-reload}

12:19:48

#/etc/init.d/syslog-ng restart

Stopping system logging: syslog-ng.
Starting system logging: syslog-ng.

12:19:51

#tail -f /var/log/syslog

Nov 14 12:17:01 linux2 /USR/SBIN/CRON[9795]: (root) CMD (   run-parts --report /etc/cron.hourly)
Nov 14 12:17:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:48 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:49 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:28 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:19:51 linux2 syslog-ng[9679]: SIGTERM received, terminating;
Nov 14 12:19:51 linux2 syslog-ng[9679]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:19:51 linux2 syslog-ng[9914]: syslog-ng starting up; version='2.0rc3'

12:20:07

#tail -f /var/log/syslog

Nov 14 12:17:01 linux2 /USR/SBIN/CRON[9795]: (root) CMD (   run-parts --report /etc/cron.hourly)
Nov 14 12:17:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:48 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:17:49 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:28 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:19:51 linux2 syslog-ng[9679]: SIGTERM received, terminating;
Nov 14 12:19:51 linux2 syslog-ng[9679]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:19:51 linux2 syslog-ng[9914]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:20:17 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:18 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:19 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:20:22

#tail -f /var/log/syslog

Nov 14 12:17:49 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:28 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:19:51 linux2 syslog-ng[9679]: SIGTERM received, terminating;
Nov 14 12:19:51 linux2 syslog-ng[9679]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:19:51 linux2 syslog-ng[9914]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:20:17 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:18 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:19 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:20:27

#tail -f /tmp/arplog

0:4:c1:4d:37:d2 -> 32 Fa0/18(192.168.15.200)
0:4:c1:4d:37:d3 -> 33 Fa0/19(192.168.15.200)
0:4:c1:4d:37:d4 -> 34 Fa0/20(192.168.15.200)
0:4:c1:4d:37:d5 -> 35 Fa0/21(192.168.15.200)
0:4:c1:4d:37:d6 -> 36 Fa0/22(192.168.15.200)
0:4:c1:4d:37:d7 -> 37 Fa0/23(192.168.15.200)
0:4:c1:4d:37:d8 -> 38 Fa0/24(192.168.15.200)
0:a:1:d4:d1:39 -> 37 Fa0/23(192.168.15.200)
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)
get-port-by-mac version='2.0rc3' done

12:20:41

#vi /usr/local/bin/myscript

12:20:53

#tail -f /tmp/arplog

0:4:c1:4d:37:d2 -> 32 Fa0/18(192.168.15.200)
0:4:c1:4d:37:d3 -> 33 Fa0/19(192.168.15.200)
0:4:c1:4d:37:d4 -> 34 Fa0/20(192.168.15.200)
0:4:c1:4d:37:d5 -> 35 Fa0/21(192.168.15.200)
0:4:c1:4d:37:d6 -> 36 Fa0/22(192.168.15.200)
0:4:c1:4d:37:d7 -> 37 Fa0/23(192.168.15.200)
0:4:c1:4d:37:d8 -> 38 Fa0/24(192.168.15.200)
0:a:1:d4:d1:39 -> 37 Fa0/23(192.168.15.200)
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)
get-port-by-mac version='2.0rc3' done

12:20:56

#tail -f /var/log/syslog

Nov 14 12:17:49 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:28 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:19:51 linux2 syslog-ng[9679]: SIGTERM received, terminating;
Nov 14 12:19:51 linux2 syslog-ng[9679]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:19:51 linux2 syslog-ng[9914]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:20:17 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:18 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:19 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
logger -t arpwatch

12:21:12

#logger -t arpwatch

ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:21:26

#tail -f /var/log/syslog

Nov 14 12:18:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:28 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:19:51 linux2 syslog-ng[9679]: SIGTERM received, terminating;
Nov 14 12:19:51 linux2 syslog-ng[9679]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:19:51 linux2 syslog-ng[9914]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:20:17 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:18 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:19 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:21:21 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:21:30

#logger -t arpwatch

12:21:32

#tail -f /tmp/arplog

0:4:c1:4d:37:d7 -> 37 Fa0/23(192.168.15.200)
0:4:c1:4d:37:d8 -> 38 Fa0/24(192.168.15.200)
0:a:1:d4:d1:39 -> 37 Fa0/23(192.168.15.200)
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)
get-port-by-mac version='2.0rc3' done
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
get-port-by-mac 0:a:1:d4:d3:6f done

12:21:41

#get-port-by-mac 0:a:1:d4:d3:6f

STARTED
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)

12:21:55

#get-port-by-mac 0:a:1:d4:d3:6f

STARTED
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)

12:22:02

#vi /usr/local/bin/get-port-by-mac

12:22:32

#get-port-by-mac 0:a:1:d4:d3:6f

STARTED
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)

12:22:38

#tail -f /tmp/arplog

0:4:c1:4d:37:d7 -> 37 Fa0/23(192.168.15.200)
0:4:c1:4d:37:d8 -> 38 Fa0/24(192.168.15.200)
0:a:1:d4:d1:39 -> 37 Fa0/23(192.168.15.200)
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)
get-port-by-mac version='2.0rc3' done
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
get-port-by-mac 0:a:1:d4:d3:6f done

12:22:48

#tail -f /var/log/syslog

Nov 14 12:18:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:18:28 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:19:51 linux2 syslog-ng[9679]: SIGTERM received, terminating;
Nov 14 12:19:51 linux2 syslog-ng[9679]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:19:51 linux2 syslog-ng[9914]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:20:17 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:18 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:20:19 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:21:21 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:23:05

#tail -f /tmp/arplog

get-port-by-mac version='2.0rc3' done
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
get-port-by-mac 0:a:1:d4:d3:6f done
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
get-port-by-mac 0:a:1:d4:d3:6f done

12:23:18

#get-port-by-mac 0:a:1:d4:d3:6f

STARTED
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)

12:23:26

#vi /usr/local/bin/get-port-by-mac

12:24:36

#tail -f /tmp/arplog

ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
get-port-by-mac 0:a:1:d4:d3:6f done
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
get-port-by-mac 0:a:1:d4:d3:6f done

12:24:42

#tail -f /tmp/arplog

get-port-by-mac 0:a:1:d4:d3:6f done
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
get-port-by-mac 0:a:1:d4:d3:6f done
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
get-port-by-mac 0:a:1:d4:d3:6f done

12:24:48

#vi /usr/local/bin/get-port-by-mac

12:25:12

#vi /usr/local/bin/get-port-by-mac

12:25:24

#vi /usr/local/bin/myscript

12c12
< /usr/local/bin/get-port-by-mac $9 >> /tmp/arplog 2>&1 
---
> /usr/local/bin/get-port-by-mac $8 >> /tmp/arplog 2>&1

12:25:42

#/etc/init.d/syslog-ng

Stopping system logging: syslog-ng.
Starting system logging: syslog-ng.

12:25:47

#tail -f /tmp/arplog

get-port-by-mac 0:a:1:d4:d3:6f done
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
get-port-by-mac 0:a:1:d4:d3:6f done
ip=up;
mac=version='2.0rc3'
get-port-by-mac version='2.0rc3'
STARTED
get-port-by-mac version='2.0rc3' done
ip=192.168.15.254
mac=0:a:1:d4:d3:6f
get-port-by-mac 0:a:1:d4:d3:6f
STARTED
0:a:1:d4:d3:6f -> 23 Fa0/10(192.168.15.200)
get-port-by-mac 0:a:1:d4:d3:6f done

12:26:11

#arp -an

? (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0
? (192.168.15.254) at 00:0A:01:D4:D1:39 [ether] on eth0
? (192.168.15.200) at 00:04:C1:4D:37:C0 [ether] on eth0

12:26:14

#man arpwatch

12:30:56

#/etc/init.d/arpwatch restart

Stopping Ethernet/FDDI station monitor daemon: arpwatch.
Starting Ethernet/FDDI station monitor daemon: (chown arpwatch /var/lib/arpwatch/arp.dat) arpwatch.

12:31:09

#tail /var/log/syslog

Nov 14 12:23:05 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:24:42 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:25:44 linux2 syslog-ng[9914]: SIGTERM received, terminating;
Nov 14 12:25:44 linux2 syslog-ng[9914]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:25:44 linux2 syslog-ng[10513]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:25:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:27:05 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:31:03 linux2 arpwatch: exiting
Nov 14 12:31:04 linux2 arpwatch: Running as uid=107 gid=109
Nov 14 12:31:04 linux2 arpwatch: listening on eth0

12:31:14

#tail -f /var/log/syslog

Nov 14 12:23:05 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:24:42 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:25:44 linux2 syslog-ng[9914]: SIGTERM received, terminating;
Nov 14 12:25:44 linux2 syslog-ng[9914]: syslog-ng shutting down; version='2.0rc3'
Nov 14 12:25:44 linux2 syslog-ng[10513]: syslog-ng starting up; version='2.0rc3'
Nov 14 12:25:47 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:27:05 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:31:03 linux2 arpwatch: exiting
Nov 14 12:31:04 linux2 arpwatch: Running as uid=107 gid=109
Nov 14 12:31:04 linux2 arpwatch: listening on eth0
Nov 14 12:31:55 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:34:30 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:34:31 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:34:32 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:35:22

#arp -an

? (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0
? (192.168.15.254) at 00:0A:01:D4:D3:6F [ether] on eth0

12:35:23

#arp -an

? (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0
? (192.168.15.254) at 00:0A:01:D4:D1:39 [ether] on eth0

12:35:32

#tail -f /var/log/syslog

Nov 14 12:31:03 linux2 arpwatch: exiting
Nov 14 12:31:04 linux2 arpwatch: Running as uid=107 gid=109
Nov 14 12:31:04 linux2 arpwatch: listening on eth0
Nov 14 12:31:55 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:34:30 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:34:31 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:34:32 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:35:25 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:35:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:35:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:36:16

#tail -f /var/log/syslog

Nov 14 12:31:03 linux2 arpwatch: exiting
Nov 14 12:31:04 linux2 arpwatch: Running as uid=107 gid=109
Nov 14 12:31:04 linux2 arpwatch: listening on eth0
Nov 14 12:31:55 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:34:30 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:34:31 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:34:32 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:35:25 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:35:26 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:35:27 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:36:49

#arp -an

? (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0
? (192.168.15.254) at 00:0A:01:D4:D3:6F [ether] on eth0

12:36:50

#cat /etc/default/

apache2          dirmngr          ifupdown         portmap
arpwatch         discover         initrd-tools.sh  rcS
bootlogd         exim4            libnss-db        rscsi
cdrecord         hal              locale           ssh
dbus-1           halt             lpd              syslog-ng
devpts           hotplug          nfs-common       tmpfs

12:36:50

#cat /etc/default/arpwatch

# Global options for arpwatch(8).
# Debian: don't report bogons, don't use PROMISC.
ARGS="-N -p"
# Debian: run as `arpwatch' user.  Empty this to run as root.
RUNAS="arpwatch"

12:37:10

#man arpwatch

12:38:06

#vi /etc/default/arpwatch

4c4,5
< ARGS="-N -p"
---
> #ARGS="-N -p"
> ARPGS=""

12:38:55

#/etc/init.d/arpwatch restart

Stopping Ethernet/FDDI station monitor daemon: arpwatch.
Starting Ethernet/FDDI station monitor daemon: (chown arpwatch /var/lib/arpwatch/arp.dat) arpwatch.

12:39:02

#tail -f /var/log/syslog

Nov 14 12:36:58 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:36:59 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:37:00 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:39:01 linux2 arpwatch: exiting
Nov 14 12:39:01 linux2 /USR/SBIN/CRON[10853]: (root) CMD (  [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -r -0 rm)
Nov 14 12:39:01 linux2 /USR/SBIN/CRON[10854]: (root) CMD (  [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm)
Nov 14 12:39:02 linux2 kernel: eth0: Setting promiscuous mode.
Nov 14 12:39:02 linux2 kernel: device eth0 entered promiscuous mode
Nov 14 12:39:02 linux2 arpwatch: Running as uid=107 gid=109
Nov 14 12:39:02 linux2 arpwatch: listening on eth0
Nov 14 12:39:29 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:39:30 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:39:32 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:39:37

#vi /etc/default/arpwatch

12:39:41

#man arpwatch

12:39:53

#/etc/init.d/arpwatch stop

Stopping Ethernet/FDDI station monitor daemon: arpwatch.

12:40:02

#arpwatch -d

arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0

12:40:34

#man arpwatch

12:41:58

#arp -an

? (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0
? (192.168.15.254) at 00:0A:01:D4:D1:39 [ether] on eth0
? (192.168.15.200) at 00:04:C1:4D:37:C0 [ether] on eth0

12:42:01

#tail -f /var/log/syslog

Nov 14 12:39:29 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:39:30 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:39:32 linux2 arpwatch: ethernet mismatch 192.168.15.254 0:a:1:d4:d3:6f (0:a:1:d4:d1:39) eth0
Nov 14 12:40:02 linux2 kernel: device eth0 left promiscuous mode
Nov 14 12:40:02 linux2 arpwatch: exiting
Nov 14 12:40:05 linux2 kernel: eth0: Setting promiscuous mode.
Nov 14 12:40:05 linux2 kernel: device eth0 entered promiscuous mode
Nov 14 12:40:05 linux2 arpwatch: listening on eth0
Nov 14 12:40:34 linux2 kernel: device eth0 left promiscuous mode
Nov 14 12:40:34 linux2 arpwatch: exiting

12:42:29

#/etc/init.d/arpwatch start

Starting Ethernet/FDDI station monitor daemon: (chown arpwatch /var/lib/arpwatch/arp.dat) arpwatch.

12:42:34

#tail -f /var/log/syslog

Nov 14 12:40:02 linux2 arpwatch: exiting
Nov 14 12:40:05 linux2 kernel: eth0: Setting promiscuous mode.
Nov 14 12:40:05 linux2 kernel: device eth0 entered promiscuous mode
Nov 14 12:40:05 linux2 arpwatch: listening on eth0
Nov 14 12:40:34 linux2 kernel: device eth0 left promiscuous mode
Nov 14 12:40:34 linux2 arpwatch: exiting
Nov 14 12:42:34 linux2 kernel: eth0: Setting promiscuous mode.
Nov 14 12:42:34 linux2 kernel: device eth0 entered promiscuous mode
Nov 14 12:42:34 linux2 arpwatch: Running as uid=107 gid=109
Nov 14 12:42:34 linux2 arpwatch: listening on eth0
Nov 14 12:43:48 linux2 arpwatch: flip flop 192.168.15.254 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:43:49 linux2 arpwatch: changed ethernet address 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:03 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:04 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:05 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:37 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:38 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:39 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0

12:44:46

#/etc/init.d/arpwatch restart

Stopping Ethernet/FDDI station monitor daemon: arpwatch.
Starting Ethernet/FDDI station monitor daemon: (chown arpwatch /var/lib/arpwatch/arp.dat) arpwatch.

12:44:56

#tail -f /var/log/syslog

Nov 14 12:44:05 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:37 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:38 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:39 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:44:54 linux2 kernel: device eth0 left promiscuous mode
Nov 14 12:44:54 linux2 arpwatch: exiting
Nov 14 12:44:55 linux2 kernel: eth0: Setting promiscuous mode.
Nov 14 12:44:55 linux2 kernel: device eth0 entered promiscuous mode
Nov 14 12:44:55 linux2 arpwatch: Running as uid=107 gid=109
Nov 14 12:44:55 linux2 arpwatch: listening on eth0
Nov 14 12:45:06 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:45:07 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:45:08 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0

12:45:12

#man arpwatch

12:45:29

#ls /var/lib/arpwatch/

arp.dat  arp.dat-

12:45:31

#ls -l /var/lib/arpwatch/

total 2
-rw-r--r-- 1 arpwatch arpwatch 294 2006-11-14 12:44 arp.dat
-rw-r--r-- 1 arpwatch root     243 2006-11-14 12:40 arp.dat-

12:45:33

#less /var/lib/arpwatch/arp.dat

12:46:29

#arp -an

? (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0
? (192.168.15.254) at 00:0A:01:D4:D1:39 [ether] on eth0
? (192.168.15.200) at 00:04:C1:4D:37:C0 [ether] on eth0

12:46:31

#vi /var/lib/arpwatch/arp.dat

3d2
< 0:a:1:d4:d1:39	192.168.15.1	1163501067	linux1	eth0

12:46:54

#/etc/init.d/arpwatch restart

Stopping Ethernet/FDDI station monitor daemon: arpwatch.
Starting Ethernet/FDDI station monitor daemon: (chown arpwatch /var/lib/arpwatch/arp.dat) arpwatch.

12:46:59

#vi /var/lib/arpwatch/arp.dat

12:47:15

#/etc/init.d/arpwatch stop

Stopping Ethernet/FDDI station monitor daemon: arpwatch.

12:47:19

#vi /var/lib/arpwatch/arp.

4d3
< 0:a:1:d4:d1:39	192.168.15.1	1163501105	linux1

12:47:23

#vi /var/lib/arpwatch/arp.dat

12:47:29

#/etc/init.d/arpwatch start

Starting Ethernet/FDDI station monitor daemon: (chown arpwatch /var/lib/arpwatch/arp.dat) arpwatch.

12:47:34

#arp -an

? (192.168.15.1) at 00:0A:01:D4:D3:6F [ether] on eth0
? (192.168.15.254) at 00:0A:01:D4:D1:39 [ether] on eth0
? (192.168.15.200) at 00:04:C1:4D:37:C0 [ether] on eth0

12:47:44

#tail -f /var/log/syslog

Nov 14 12:46:59 linux2 kernel: eth0: Setting promiscuous mode.
Nov 14 12:46:59 linux2 kernel: device eth0 entered promiscuous mode
Nov 14 12:46:59 linux2 arpwatch: Running as uid=107 gid=109
Nov 14 12:46:59 linux2 arpwatch: listening on eth0
Nov 14 12:47:19 linux2 kernel: device eth0 left promiscuous mode
Nov 14 12:47:19 linux2 arpwatch: exiting
Nov 14 12:47:34 linux2 kernel: eth0: Setting promiscuous mode.
Nov 14 12:47:34 linux2 kernel: device eth0 entered promiscuous mode
Nov 14 12:47:34 linux2 arpwatch: Running as uid=107 gid=109
Nov 14 12:47:34 linux2 arpwatch: listening on eth0
Nov 14 12:47:56 linux2 arpwatch: changed ethernet address 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:48:11 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:48:12 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0
Nov 14 12:48:13 linux2 arpwatch: ethernet mismatch 192.168.15.1 0:a:1:d4:d1:39 (0:a:1:d4:d3:6f) eth0

12:48:34

#cat /var/lib/arpwatch/arp.dat

0:a:1:d4:d1:39  192.168.15.254  1163501101      linux
0:a:1:d4:d3:6f  192.168.15.254  1163500815      linux
0:a:1:d4:d3:6f  192.168.15.1    1163501194      linux1
0:4:76:a1:f2:5a 192.168.15.2    1163501223      linux2
0:4:c1:4d:37:c0 192.168.15.200  1163501223      linux200

12:48:42

#cat /var/lib/arpwatch/arp.dat | sort +3

sort: Warning: "+number" syntax is deprecated, please use "-k number"
0:a:1:d4:d1:39  192.168.15.254  1163501101      linux
0:a:1:d4:d3:6f  192.168.15.254  1163500815      linux
0:a:1:d4:d3:6f  192.168.15.1    1163501194      linux1
0:4:76:a1:f2:5a 192.168.15.2    1163501223      linux2
0:4:c1:4d:37:c0 192.168.15.200  1163501223      linux200

12:49:07

#cat /var/lib/arpwatch/arp.dat | sort -n +3

sort: Warning: "+number" syntax is deprecated, please use "-k number"
0:4:76:a1:f2:5a 192.168.15.2    1163501223      linux2
0:4:c1:4d:37:c0 192.168.15.200  1163501223      linux200
0:a:1:d4:d1:39  192.168.15.254  1163501101      linux
0:a:1:d4:d3:6f  192.168.15.1    1163501194      linux1
0:a:1:d4:d3:6f  192.168.15.254  1163500815      linux

12:49:13

#cat /var/lib/arpwatch/arp.dat | sort -rn +3

sort: Warning: "+number" syntax is deprecated, please use "-k number"
0:a:1:d4:d3:6f  192.168.15.254  1163500815      linux
0:a:1:d4:d3:6f  192.168.15.1    1163501194      linux1
0:a:1:d4:d1:39  192.168.15.254  1163501101      linux
0:4:c1:4d:37:c0 192.168.15.200  1163501223      linux200
0:4:76:a1:f2:5a 192.168.15.2    1163501223      linux2

12:49:33

#man date

12:50:00

#info date

Файлы

/etc/default/

/etc/default/arpwatch

/var/lib/arpwatch/arp.dat

/etc/default/

apache2          dirmngr          ifupdown         portmap
arpwatch         discover         initrd-tools.sh  rcS
bootlogd         exim4            libnss-db        rscsi
cdrecord         hal              locale           ssh
dbus-1           halt             lpd              syslog-ng
devpts           hotplug          nfs-common       tmpfs

/etc/default/arpwatch

# Global options for arpwatch(8).
# Debian: don't report bogons, don't use PROMISC.
ARGS="-N -p"
# Debian: run as `arpwatch' user.  Empty this to run as root.
RUNAS="arpwatch"

/var/lib/arpwatch/arp.dat

0:a:1:d4:d1:39  192.168.15.254  1163501101      linux
0:a:1:d4:d3:6f  192.168.15.254  1163500815      linux
0:a:1:d4:d3:6f  192.168.15.1    1163501194      linux1
0:4:76:a1:f2:5a 192.168.15.2    1163501223      linux2
0:4:c1:4d:37:c0 192.168.15.200  1163501223      linux200

Статистика

Время первой команды журнала 12:06:48 2006-11-14

Время последней команды журнала 12:50:00 2006-11-14

Количество командных строк в журнале 94

Процент команд с ненулевым кодом завершения, % 3.19

Процент синтаксически неверно набранных команд, % 0.00

Суммарное время работы с терминалом ^*, час 0.72

Количество командных строк в единицу времени, команда/мин 2.18

Частота использования команд

`tail`	34	\|===================================\| 35.05%
`vi`	16	\|================\| 16.49%
`arp`	8	\|========\| 8.25%
`/etc/init.d/arpwatch`	8	\|========\| 8.25%
`cat`	6	\|======\| 6.19%
`man`	6	\|======\| 6.19%
`get-port-by-mac`	4	\|====\| 4.12%
`/etc/init.d/syslog-ng`	4	\|====\| 4.12%
`sort`	3	\|===\| 3.09%
`logger`	2	\|==\| 2.06%
`less`	2	\|==\| 2.06%
`ls`	2	\|==\| 2.06%
`arpwatch`	1	\|=\| 1.03%
`info`	1	\|=\| 1.03%

____
*) Интервалы неактивности длительностью 30 минут и более не учитываются

Справка

Для того чтобы использовать LiLaLo, не нужно знать ничего особенного: всё происходит само собой. Однако, чтобы ведение и последующее использование журналов было как можно более эффективным, желательно иметь в виду следующее:

В журнал автоматически попадают все команды, данные в любом терминале системы.
Для того чтобы убедиться, что журнал на текущем терминале ведётся, и команды записываются, дайте команду w. В поле WHAT, соответствующем текущему терминалу, должна быть указана программа script.
Команды, при наборе которых были допущены синтаксические ошибки, выводятся перечёркнутым текстом:
$ l s-l

bash: l: command not found
Если код завершения команды равен нулю, команда была выполнена без ошибок. Команды, код завершения которых отличен от нуля, выделяются цветом.
$ test 5 -lt 4
Обратите внимание на то, что код завершения команды может быть отличен от нуля не только в тех случаях, когда команда была выполнена с ошибкой. Многие команды используют код завершения, например, для того чтобы показать результаты проверки

Команды, ход выполнения которых был прерван пользователем, выделяются цветом.

$ find / -name abc

find: /home/devi-orig/.gnome2: Keine Berechtigung find: /home/devi-orig/.gnome2_private: Keine Berechtigung find: /home/devi-orig/.nautilus/metafiles: Keine Berechtigung find: /home/devi-orig/.metacity: Keine Berechtigung find: /home/devi-orig/.inkscape: Keine Berechtigung ^C

Команды, выполненные с привилегиями суперпользователя, выделяются слева красной чертой.
# id

uid=0(root) gid=0(root) Gruppen=0(root)
Изменения, внесённые в текстовый файл с помощью редактора, запоминаются и показываются в журнале в формате ed. Строки, начинающиеся символом "<", удалены, а строки, начинающиеся символом ">" -- добавлены.
$ vi ~/.bashrc

2a3,5 > if [ -f /usr/local/etc/bash_completion ]; then > . /usr/local/etc/bash_completion > fi
Для того чтобы изменить файл в соответствии с показанными в диффшоте изменениями, можно воспользоваться командой patch. Нужно скопировать изменения, запустить программу patch, указав в качестве её аргумента файл, к которому применяются изменения, и всавить скопированный текст:
$ patch ~/.bashrc
В данном случае изменения применяются к файлу ~/.bashrc
Для того чтобы получить краткую справочную информацию о команде, нужно подвести к ней мышь. Во всплывающей подсказке появится краткое описание команды.

Если справочная информация о команде есть, команда выделяется голубым фоном, например: vi. Если справочная информация отсутствует, команда выделяется розовым фоном, например: notepad.exe. Справочная информация может отсутствовать в том случае, если (1) команда введена неверно; (2) если распознавание команды LiLaLo выполнено неверно; (3) если информация о команде неизвестна LiLaLo. Последнее возможно для редких команд.
Большие, в особенности многострочные, всплывающие подсказки лучше всего показываются браузерами KDE Konqueror, Apple Safari и Microsoft Internet Explorer. В браузерах Mozilla и Firefox они отображаются не полностью, а вместо перевода строки выводится специальный символ.
Время ввода команды, показанное в журнале, соответствует времени начала ввода командной строки, которое равно тому моменту, когда на терминале появилось приглашение интерпретатора
Имя терминала, на котором была введена команда, показано в специальном блоке. Этот блок показывается только в том случае, если терминал текущей команды отличается от терминала предыдущей.
Вывод не интересующих вас в настоящий момент элементов журнала, таких как время, имя терминала и других, можно отключить. Для этого нужно воспользоваться формой управления журналом вверху страницы.
Небольшие комментарии к командам можно вставлять прямо из командной строки. Комментарий вводится прямо в командную строку, после символов #^ или #v. Символы ^ и v показывают направление выбора команды, к которой относится комментарий: ^ - к предыдущей, v - к следующей. Например, если в командной строке было введено:
```
$ whoami
```
```
user
```
```
$ #^ Интересно, кто я?
```
в журнале это будет выглядеть так:
```
$ whoami
```
```
user
```
Интересно, кто я?

Если комментарий содержит несколько строк, его можно вставить в журнал следующим образом:

$ whoami

user

$ cat > /dev/null #^ Интересно, кто я?

Программа whoami выводит имя пользователя, под которым 
мы зарегистрировались в системе.
-
Она не может ответить на вопрос о нашем назначении 
в этом мире.

В журнале это будет выглядеть так:

$ whoami

user

Интересно, кто я?

Программа whoami выводит имя пользователя, под которым
мы зарегистрировались в системе.

Она не может ответить на вопрос о нашем назначении
в этом мире.

Для разделения нескольких абзацев между собой используйте символ "-", один в строке.

Комментарии, не относящиеся непосредственно ни к какой из команд, добавляются точно таким же способом, только вместо симолов #^ или #v нужно использовать символы #=

Содержимое файла может быть показано в журнале. Для этого его нужно вывести с помощью программы cat. Если вывод команды отметить симоволами #!, содержимое файла будет показано в журнале в специально отведённой для этого секции.

Для того чтобы вставить скриншот интересующего вас окна в журнал, нужно воспользоваться командой l3shot. После того как команда вызвана, нужно с помощью мыши выбрать окно, которое должно быть в журнале.

Команды в журнале расположены в хронологическом порядке. Если две команды давались одна за другой, но на разных терминалах, в журнале они будут рядом, даже если они не имеют друг к другу никакого отношения.
```
1
    2
3   
    4
```
Группы команд, выполненных на разных терминалах, разделяются специальной линией. Под этой линией в правом углу показано имя терминала, на котором выполнялись команды. Для того чтобы посмотреть команды только одного сенса, нужно щёкнуть по этому названию.

О программе

LiLaLo (L3) расшифровывается как Live Lab Log.
Программа разработана для повышения эффективности обучения Unix/Linux-системам.
(c) Игорь Чубин, 2004-2008

$Id$