[Ilya Evseev]

Дополнения для ARPWatch:

- сохранение записей в MySQL,

- Веб-интерфейс для просмотра, фильтрации, суммарной статистики.

 

Протестированы на FreeBSD, Fedora, Ubuntu.

 

http://sources.homelink.ru/arpwatch

[polter]

К сожалению не смог запустить веб интерфейс, он отрисовывает

колонки не выводит самих адресов.

 

База жива, и прав хватает, все перловые модуля стоят.

 

mysql> select * from arpwatch;

+----+-------------+-------------+-----------+------------------+-------------+------------+-----------------+

| id | subject_id | subject | ipaddr | macaddr |

old_macaddr | tstamp | previous_tstamp |

+----+-------------+-------------+-----------+------------------+-------------+------------+-----------------+

| 1 | | | NULL | NULL | NULL

| NULL | NULL |

| 2 | new_station | new station | 1.1.0.95 | 0:1e:58:a7:cd:c4 | NULL

| 1271262611 | NULL |

| 3 | new_station | new station | 1.1.0.99 | 0:19:5b:ed:78:2c |

 

 

А логах апача имею:

 

[Thu Apr 15 01:45:18 2010] [error] [client 192.168.16.241] Use of

uninitialized value in localtime at /var/www/cgi-bin/arpwatch.cgi line

68., referer: http://nmc.ip-stream.ru/cgi-bin/arpwatch.cgi?keywords=de

[Thu Apr 15 01:45:18 2010] [error] [client 192.168.16.241] Use of

uninitialized value in hash element at /var/www/cgi-bin/arpwatch.cgi

line 72., referer: http://nmc.ip-stream.ru/cgi-bin/arpwatch.cgi?keywords

[Thu Apr 15 01:45:18 2010] [error] [client 192.168.16.241] Use of

uninitialized value in hash element at /var/www/cgi-bin/arpwatch.cgi

line 76., referer: http://nmc.ip-stream.ru/cgi-bin/arpwatch.cgi?keywords

 

 

Локальное время верное.

 

 

Заранее большое спасибо.

 

еще раз пересоздал БД, чтоб первая строка не была нулевой.

id subject_id subject ipaddr macaddr old_macaddr tstamp previous_tstamp

1 new_station new station 1.1.0.184 0:22:b0:50:ae:fa NULL 1271319255 NULL

2 new_station new station 1.1.0.222 0:1c:f0:a8:a0:8b NULL 1271319277 NULL

 

 

Результат тот же.

[Ilya Evseev]

Arpwatch.cgi не показывает сообщения 'new station', если для данного IP/MAC есть только оно одно.

Если такое поведение не нравится, поставив # в начале строки

next if @$msgs_ref == 1 and $$msgs_ref[0]->{subject} =~ /new station/;

 

По умолчанию проверяются записи за последние сутки.

Соответственно, чтобы вывелись тестовые записи за 15 апреля, надо перейти по ссылке "Display period: all".

[polter]

Может проблема в том что он не получил изначальную базу из файла?

 

Создалось такое впечатление, что он не считал arp.dat а работает исключительно с почтовым ящиком.

[ysha]

Хотелось бы воспользоваться утилитой arpwatch 2.1.a15 из портов FreeBSD 8.2 (ссылка на текущую версию arpwatch в портах) в режиме уведомления только посредством syslog и не пользоваться уведомлениями по E-Mail вообще, MySQL также не будет использоваться. Поскольку такой опции запуска не предусмотрено (без E-Mail,MySQL,только syslog) - не подскажете что можно подправить на уровне исходников чтобы убрать отправку на E-Mail?

[Ilya Evseev]

в режиме уведомления только посредством syslog и не пользоваться уведомлениями по E-Mail вообще, MySQL также не будет использоваться.

arpwatch -m arpwatch@localhost ...

 

/etc/aliases:

arpwatch: /dev/null