Hi delphiforum user,

ich bin derzeit am Entwickeln eines Remote LogFileViewers über SSH und suche auf diesem weg etwas Feedback ;)Fall jemand von euch einen Rootserver hat und sich hin und wieder die Logfiles anguckt dann könnt ihr gerne mal Testen und mir Feedback geben,

Gruß Wolle


Anbei einige Screenshots und die aktuelle Changelog:

www.tunnelbohrer.com/download/mainview.jpg
www.tunnelbohrer.com..._logview_anlegen.jpg
www.tunnelbohrer.com...ungedockte_views.jpg
www.tunnelbohrer.com...oad/zweilogviews.jpg


Version 0.3

[+] Abarbeitung der empfangenden Daten verbessert(keine mehrfachzeilen in einer mehr)
[+] Datenbank zur Speicherung von Presets eingebaut, damit nicht jedes mal alles neu eingetragen werden muss.
[+] Setting Panel für die Presets eingebaut.

Version 0.4

[-] Speicher freigegeben
[-] diverse kleine Optimierungen
[+] Stream des Logfiles in eine Datei
[+] Abspeichern des Logfiles in eine Datei
[+] Handling des Fensters verändert
[+] Beenden einer View eingebaut
[+] Mehr Debugausgaben

Version 0.5

[+] TNA
[+] Quick SSHLogView aus dem presets mit nur zwei clicks
[+] Mainwindow kann versteckt werden und die LogViews sind dann umgedockt

Letzte Version: www.tunnelbohrer.com...d/sshlogview_0_5.zip

Moderiert von Narses: Überflüssige Zeilenumbrüche/Leerzeilen entfernt.
Moderiert von Narses: Topic aus Off Topic verschoben am Di 04.10.2011 um 13:00

Ich weiß, dass das Folgende sicherlich nicht direkt sein wird, was Du Dir an Feedback erhoffst, weshalb es mir auch leid tut, dass ich es anbringen muss, aber sicherheitsrelevante Software, und da gehört alles, was mit nem Root-Account arbeitet nunmal dazu, kann nur vertraut werden, wenn unabhängig überprüft werden kann, dass diese keine versteckte Backdoors hat. Das ist nichts gegen Dich, aber aus diesem Grund fällt mir eine Evaluation deiner Software relativ schwer bis unmöglich: Ich habe zwar prinzipiell die Möglichkeit, die zum Überprüfen zu Dissamblieren (ja, das lässt deutsches Recht zu), aber nur, durch offene Quellen kann ich mir sicher sein, dass ich einen vertrauenswürdigen Stand solcher Software erreichen kann. Soviel vorweg.

Was ich aber bereits aus deinen Screenshots erkenne, zeigt mir, dass Du vermutlich nur selten an größeren Servern arbeitest. Nur als grobe Richtung: Auf meinem Server fallen täglich etwa 50 bis 100 MB unkomprimierte Logfiles an. Sei es von Apche, Postfix, Courier, EJabberd, MySQL, ProFTPd, ... Eine reine Text-Auswertung, bzw. ein besserer Text-Editor, der die Logeinträge nach Zeilen spaltet bringt bei diesen Datenmengen wenig. Vielmehr muss ich mit einfachen Mitteln Auswertungen starten können. Z.B. Filtern nach wo gab es Angriffsversuche (z.B. XSS via HTTP-Parameter, Dictionary-Attacks auf SSH, ...) aber auch Sachen wie "Wieviele Mails wurden aus welchem Grund zurückgewiesen?" bzw. "Von welchem Server kamen die denn?"

All das müsste dein Logviewer mir als Admin übersichtlich auflisten, damit er wirklich als hilfreiches Tool meine Arbeit unterstützt. Von den genannten Sachen kann ich aber nicht wirklich viel sehen, weil eine "Kontext-Auswertung" soweit ich das sehe fehlt. Nehmen wir mal nen Mailserver: Da sind bei ner normalen Konfiguration ungefähr 5-10 Dienste dran beteiligt (Postfix, Courier, PolicyWeight, PFixTools, Amavis, PostGrey, Anvil, qmgr, sendmail, ...) D.h. eine einzige Mail, die als Spam abgelehnt wird, erzeugt mindestens 4 Zeilen Logausgabe, die es zu analysieren gilt. Hab ich nen Exploder (Poor Man's Mailing List), kann aus diesen 4 Zeilen schnell mehrere Hundert werden.

Es geht also bei einem Log-Viewer weniger darum, nen besseren Text-Editor mit Datenbank-Funktionen zu haben (das hab ich mit vi, grep und sed auf'm Server genauso, sondern darum, dass das, was in den Logfiles steht, aufbereitet wird und mich auf die wichtigen Punkte hinweist.

Du wirst es sicherlich nicht glauben, aber ein einfaches Diagramm kann manchmal wesentlich mehr sagen, als hunderte Zeilen Logfile.

Sprich, wenn Du es hinbekommst, dass mir dein Programm unter Vorlage der Logfiles ein Anzeichen ausgibt, wenn etwas an der Konfiguration oder den Server-Diensten nicht stimmt, dann schaue ich das mir gern auch noch mal im Detail an.

Ach ja: Andere Frage: Wird PubKey Auth unterstützt? Wenn ja: Angenommen ich hab nen RSA-8192er Key als PubKey: Wie lange dauert der Login? (vgl. PuTTY: 20-30 Sekunden, OpenSSH: ~3 Sek.). Du wirst dich sicherlich wundern, warum ich frag: aber die Login-Zeiten können durchaus auch ein Problem darstellen.

Stichpunkt: Multi-Server-Support: Wie einfach ist es, dein Programm zum Warten mehrerer Server einzusetzen?

Log Rotations: Kommt dein Programm mit Log Rotations klar, bzw. erkennt diese sauber? Werden komprimierte Logs sauber verarbeitet?

Erweiterbarkeit: Wie gut kann ich dein Programm für unbekannte Log-Formate anpassen?

Und ohne dich entmutigen zu wollen: Hier im Forum gibt es einen HTTP Log Viewer, der bei Praxisrelevanten Log-Datenmengen (1 Server, 10 Domains, 2 Jahre Daten, ~2-3 GB komprimierte Logs) mal eben schlapp macht. Rechne mit solchen Datenmengen, denn die fallen durchaus an! Ganz davon abgesehen, dass der Log-Parser von besagtem Programm mal eben das Apache-Log-Format nicht sauber auswerten konnte (Custom-Format mit ein paar Zusatzangaben, die aber eindeutig anhand des Format-Strings auslesbar waren.)

Gruß,
BenBE.

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

Hallo,

vielen Dank erst mal für deine ausführliche Darlegung deiner Sicht der Dinge über die ich mich wirklich sehr freue.

Zitat:

Ich weiß, dass das Folgende sicherlich nicht direkt sein wird, was Du Dir an Feedback erhoffst, weshalb es mir auch leid tut, dass ich es anbringen muss, aber sicherheitsrelevante Software, und da gehört alles, was mit nem Root-Account arbeitet nunmal dazu, kann nur vertraut werden, wenn unabhängig überprüft werden kann, dass diese keine versteckte Backdoors hat. Das ist nichts gegen Dich, aber aus diesem Grund fällt mir eine Evaluation deiner Software relativ schwer bis unmöglich: Ich habe zwar prinzipiell die Möglichkeit, die zum Überprüfen zu Dissamblieren (ja, das lässt deutsches Recht zu), aber nur, durch offene Quellen kann ich mir sicher sein, dass ich einen vertrauenswürdigen Stand solcher Software erreichen kann. Soviel vorweg.

Tja das mit dem vertrauen und Software ist wirklich sehr schwer zu steuern aber vertraust Du auch deinem Putty nicht? Ich habe mir selber auch die Frage gestellt wie ich es halbwegs auf die reihe bekomme das Leute das „Tool“ testen aber ich habe leider keine Referenzen für ein Vertrauensboni und so kann ich nur hoffen das es trotzdem Leute gibt die mir Feedback geben wollen um des Programmes willen .
Ich habe z.b bewusst auf ein Autoupdate verzichtet damit nicht gleich jemand denk ich Telefoniere sonstwo hin… es gibt auch keine Registryschlüssel wo etwas gespeichert wird.
Es gibt eine DB(Absolute Database) für die Presets und die mit einem Rijndael_128 Passwort gecrypted. Desweiteren liegen die SSH Keys wie unter Unix auch im APP Verzeichnis.

Zitat:

Was ich aber bereits aus deinen Screenshots erkenne, zeigt mir, dass Du vermutlich nur selten an größeren Servern arbeitest. Nur als grobe Richtung: Auf meinem Server fallen täglich etwa 50 bis 100 MB unkomprimierte Logfiles an. Sei es von Apche, Postfix, Courier, EJabberd, MySQL, ProFTPd, ... Eine reine Text-Auswertung, bzw. ein besserer Text-Editor, der die Logeinträge nach Zeilen spaltet bringt bei diesen Datenmengen wenig. Vielmehr muss ich mit einfachen Mitteln Auswertungen starten können. Z.B. Filtern nach wo gab es Angriffsversuche (z.B. XSS via HTTP-Parameter, Dictionary-Attacks auf SSH, ...) aber auch Sachen wie "Wieviele Mails wurden aus welchem Grund zurückgewiesen?" bzw. "Von welchem Server kamen die denn?"

Ich habe die Software angefangen zu schreiben damit sich hier ein PHP Entwickler nicht mit Putty einwählen muss und damit man mal schnell in ein Log gucken kann. Die dinge die Du da ansprichst sind aber auch genau die Ideen die ich gerne haben möchte um ein richtig nettes Tool zu schaffen was Admins bzw. Entwickler auch gerne einsetzen und da ist die Grundlage die ich da grad gebaut habe ja nicht mehr als ein Tropfen … es soll ja später möglich sein sich Alarme mit Regexp zu bauen usw. Momentan ist es halt nicht mehr als ein tail –f auf ein Logfile in einem Windowsview.

Zitat:

All das müsste dein Logviewer mir als Admin übersichtlich auflisten, damit er wirklich als hilfreiches Tool meine Arbeit unterstützt. Von den genannten Sachen kann ich aber nicht wirklich viel sehen, weil eine "Kontext-Auswertung" soweit ich das sehe fehlt. Nehmen wir mal nen Mailserver: Da sind bei ner normalen Konfiguration ungefähr 5-10 Dienste dran beteiligt (Postfix, Courier, PolicyWeight, PFixTools, Amavis, PostGrey, Anvil, qmgr, sendmail, ...) D.h. eine einzige Mail, die als Spam abgelehnt wird, erzeugt mindestens 4 Zeilen Logausgabe, die es zu analysieren gilt. Hab ich nen Exploder (Poor Man's Mailing List), kann aus diesen 4 Zeilen schnell mehrere Hundert werden. Es geht also bei einem Log-Viewer weniger darum, nen besseren Text-Editor mit Datenbank-Funktionen zu haben (das hab ich mit vi, grep und sed auf'm Server genauso, sondern darum, dass das, was in den Logfiles steht, aufbereitet wird und mich auf die wichtigen Punkte hinweist. Du wirst es sicherlich nicht glauben, aber ein einfaches Diagramm kann manchmal wesentlich mehr sagen, als hunderte Zeilen Logfile. Sprich, wenn Du es hinbekommst, dass mir dein Programm unter Vorlage der Logfiles ein Anzeichen ausgibt, wenn etwas an der Konfiguration oder den Server-Diensten nicht stimmt, dann schaue ich das mir gern auch noch mal im Detail an.

Was bedeutet das Du eine Logfile Analysesoftware haben möchtest die bei Unschärfe Alarm schlägt richtig?

Zitat:

Ach ja: Andere Frage: Wird PubKey Auth unterstützt? Wenn ja: Angenommen ich hab nen RSA-8192er Key als PubKey: Wie lange dauert der Login? (vgl. PuTTY: 20-30 Sekunden, OpenSSH: ~3 Sek.). Du wirst dich sicherlich wundern, warum ich frag: aber die Login-Zeiten können durchaus auch ein Problem darstellen.

Das kann ich gerne mal bei einer Frischen Debian Installation testen.Und gebe dir mal bescheid.

Zitat:

Stichpunkt: Multi-Server-Support: Wie einfach ist es, dein Programm zum Warten mehrerer Server einzusetzen?

Du Speicherst in dem Programm Presets ab zu einem Server kann es mehrere Views auf Logfiles geben das ist kein Problem.

Zitat:

Log Rotations: Kommt dein Programm mit Log Rotations klar, bzw. erkennt diese sauber? Werden komprimierte Logs sauber verarbeitet?

Habe ich nicht getestet da ich es wie geschrieben nur als View auf ein aktuelles Log geschrieben habe. Aber ist ein guter Einwand

Zitat:

Erweiterbarkeit: Wie gut kann ich dein Programm für unbekannte Log-Formate anpassen?

Es wird aktuell noch nix geprast

Zitat:

Und ohne dich entmutigen zu wollen: Hier im Forum gibt es einen HTTP Log Viewer, der bei Praxisrelevanten Log-Datenmengen (1 Server, 10 Domains, 2 Jahre Daten, ~2-3 GB komprimierte Logs) mal eben schlapp macht. Rechne mit solchen Datenmengen, denn die fallen durchaus an! Ganz davon abgesehen, dass der Log-Parser von besagtem Programm mal eben das Apache-Log-Format nicht sauber auswerten konnte (Custom-Format mit ein paar Zusatzangaben, die aber eindeutig anhand des Format-Strings auslesbar waren.)

Ja das kenne ich unsere Hauptdomain hat seit Oktober letzten Jahres schon 2,2 GB bis heute...
aber ich will ja auch keine Apache Logfile Auswertungen bauen im Moment.

Vielen Dank nochmal für dein Feedback und ich denke mal drüber nach in welche Richtung ich das ganze realisieren möchte und vor allem kann
Zu dem Login bei RSA-8192 sag ich dir mal die Messwerte.

Gruß Wolle

Moderiert von Narses: B/I-Tags durch Quote-Tags ersetzt.

natuerlich vertraut er seinem putty. die sourcen sind offen und man kompiliert es sich einfach selber.

wfoertsch hat folgendes geschrieben :

Hallo, vielen Dank erst mal für deine ausführliche Darlegung deiner Sicht der Dinge über die ich mich wirklich sehr freue.

Kein Ding.

wfoertsch hat folgendes geschrieben :

Zitat: Ich weiß, dass das Folgende sicherlich nicht direkt sein wird, was Du Dir an Feedback erhoffst, weshalb es mir auch leid tut, dass ich es anbringen muss, aber sicherheitsrelevante Software, und da gehört alles, was mit nem Root-Account arbeitet nunmal dazu, kann nur vertraut werden, wenn unabhängig überprüft werden kann, dass diese keine versteckte Backdoors hat. Das ist nichts gegen Dich, aber aus diesem Grund fällt mir eine Evaluation deiner Software relativ schwer bis unmöglich: Ich habe zwar prinzipiell die Möglichkeit, die zum Überprüfen zu Dissamblieren (ja, das lässt deutsches Recht zu), aber nur, durch offene Quellen kann ich mir sicher sein, dass ich einen vertrauenswürdigen Stand solcher Software erreichen kann. Soviel vorweg. Tja das mit dem vertrauen und Software ist wirklich sehr schwer zu steuern aber vertraust Du auch deinem Putty nicht?

Tankard hat folgendes geschrieben :

natuerlich vertraut er seinem putty. die sourcen sind offen und man kompiliert es sich einfach selber.

Ist extrem gut zusammengefasst

wfoertsch hat folgendes geschrieben :

Ich habe mir selber auch die Frage gestellt wie ich es halbwegs auf die reihe bekomme das Leute das „Tool“ testen aber ich habe leider keine Referenzen für ein Vertrauensboni und so kann ich nur hoffen das es trotzdem Leute gibt die mir Feedback geben wollen um des Programmes willen .

Ähnlich, wie es bei PuTTY auch ist: Durch offene Quellen.

wfoertsch hat folgendes geschrieben :

Ich habe z.b bewusst auf ein Autoupdate verzichtet damit nicht gleich jemand denk ich Telefoniere sonstwo hin… es gibt auch keine Registryschlüssel wo etwas gespeichert wird.

Das ist bereits ein guter Anfang.

wfoertsch hat folgendes geschrieben :

Es gibt eine DB(Absolute Database) für die Presets und die mit einem Rijndael_128 Passwort gecrypted.

Zwar eine Maßnahme, aber ohne offene Quellen nur bedingt hilfreich.

wfoertsch hat folgendes geschrieben :

Desweiteren liegen die SSH Keys wie unter Unix auch im APP Verzeichnis.

Unter Unix liegen die PubKeys im Home-Verzeichnis des Users. Im App-Verzeichnis haben die absolut nix zu suchen.

wfoertsch hat folgendes geschrieben :

Zitat: Was ich aber bereits aus deinen Screenshots erkenne, zeigt mir, dass Du vermutlich nur selten an größeren Servern arbeitest. Nur als grobe Richtung: Auf meinem Server fallen täglich etwa 50 bis 100 MB unkomprimierte Logfiles an. Sei es von Apche, Postfix, Courier, EJabberd, MySQL, ProFTPd, ... Eine reine Text-Auswertung, bzw. ein besserer Text-Editor, der die Logeinträge nach Zeilen spaltet bringt bei diesen Datenmengen wenig. Vielmehr muss ich mit einfachen Mitteln Auswertungen starten können. Z.B. Filtern nach wo gab es Angriffsversuche (z.B. XSS via HTTP-Parameter, Dictionary-Attacks auf SSH, ...) aber auch Sachen wie "Wieviele Mails wurden aus welchem Grund zurückgewiesen?" bzw. "Von welchem Server kamen die denn?" Ich habe die Software angefangen zu schreiben damit sich hier ein PHP Entwickler nicht mit Putty einwählen muss und damit man mal schnell in ein Log gucken kann. Die dinge die Du da ansprichst sind aber auch genau die Ideen die ich gerne haben möchte um ein richtig nettes Tool zu schaffen was Admins bzw. Entwickler auch gerne einsetzen und da ist die Grundlage die ich da grad gebaut habe ja nicht mehr als ein Tropfen … es soll ja später möglich sein sich Alarme mit Regexp zu bauen usw. Momentan ist es halt nicht mehr als ein tail –f auf ein Logfile in einem Windowsview.

Und damit für einen Admin, der damit einen Überblick über seinen Server bekommen möcht noch wenig hilfreich. Und ob reine Regexp bei Logfiles viel bringen, wage ich auch zu bezweifeln. Ja, ich hab schon mal das Apache-Logfile-Format (incl. CustomLogs) mit ner Regexp erschlagen, aber schön ist anders. Für die meisten Logfiles (vgl. Beispiel mit Postfix), musst Du wirklich parsen.

wfoertsch hat folgendes geschrieben :

Zitat: All das müsste dein Logviewer mir als Admin übersichtlich auflisten, damit er wirklich als hilfreiches Tool meine Arbeit unterstützt. Von den genannten Sachen kann ich aber nicht wirklich viel sehen, weil eine "Kontext-Auswertung" soweit ich das sehe fehlt. Nehmen wir mal nen Mailserver: Da sind bei ner normalen Konfiguration ungefähr 5-10 Dienste dran beteiligt (Postfix, Courier, PolicyWeight, PFixTools, Amavis, PostGrey, Anvil, qmgr, sendmail, ...) D.h. eine einzige Mail, die als Spam abgelehnt wird, erzeugt mindestens 4 Zeilen Logausgabe, die es zu analysieren gilt. Hab ich nen Exploder (Poor Man's Mailing List), kann aus diesen 4 Zeilen schnell mehrere Hundert werden. Es geht also bei einem Log-Viewer weniger darum, nen besseren Text-Editor mit Datenbank-Funktionen zu haben (das hab ich mit vi, grep und sed auf'm Server genauso, sondern darum, dass das, was in den Logfiles steht, aufbereitet wird und mich auf die wichtigen Punkte hinweist. Du wirst es sicherlich nicht glauben, aber ein einfaches Diagramm kann manchmal wesentlich mehr sagen, als hunderte Zeilen Logfile. Sprich, wenn Du es hinbekommst, dass mir dein Programm unter Vorlage der Logfiles ein Anzeichen ausgibt, wenn etwas an der Konfiguration oder den Server-Diensten nicht stimmt, dann schaue ich das mir gern auch noch mal im Detail an. Was bedeutet das Du eine Logfile Analysesoftware haben möchtest die bei Unschärfe Alarm schlägt richtig?

Indikatoren, dass etwas nicht stimmt gibt es in vielen Logfiles recht eindeutig. Im Mail-Log z.B. wenn er meldet "cannot connect to 127.0.0.1:60000" oder dergleichen. Aber bereits das Zählen von Soft Error Codes vs. Hard Error Codes im Mail Log gibt nen Indikator, ob was nicht stimmt. Gut, viele Sachen sind abgeleitete Maße wie Rejected pro Tag, angenommene/gesendete Mails pro Tag, ...

Und bzgl. XSS via HTTP: Such mal in nem beliebigen Apache Log nach =http:// ... Du wirst überrascht sein. Ist einfach, aber gibt nen guten Überblick, nach was grad gescannt wird.

wfoertsch hat folgendes geschrieben :

Zitat: Ach ja: Andere Frage: Wird PubKey Auth unterstützt? Wenn ja: Angenommen ich hab nen RSA-8192er Key als PubKey: Wie lange dauert der Login? (vgl. PuTTY: 20-30 Sekunden, OpenSSH: ~3 Sek.). Du wirst dich sicherlich wundern, warum ich frag: aber die Login-Zeiten können durchaus auch ein Problem darstellen. Das kann ich gerne mal bei einer Frischen Debian Installation testen.Und gebe dir mal bescheid.

Ich meine PubKey, nicht Server-Key. Reicht also, die so nen Key anlegen mit PuTTY oder OpenSSH und den PubKey auf dem Server im Home-Verzeichnis installieren.

wfoertsch hat folgendes geschrieben :

Zitat: Stichpunkt: Multi-Server-Support: Wie einfach ist es, dein Programm zum Warten mehrerer Server einzusetzen? Du Speicherst in dem Programm Presets ab zu einem Server kann es mehrere Views auf Logfiles geben das ist kein Problem.

Nicht ein Server, mehrere Konfigs, sondern mehrere Server, viele Konfigs

wfoertsch hat folgendes geschrieben :

Zitat: Log Rotations: Kommt dein Programm mit Log Rotations klar, bzw. erkennt diese sauber? Werden komprimierte Logs sauber verarbeitet? Habe ich nicht getestet da ich es wie geschrieben nur als View auf ein aktuelles Log geschrieben habe. Aber ist ein guter Einwand

Ist eine Grundfunktion in jedem Log Viewer

wfoertsch hat folgendes geschrieben :

Zitat: Erweiterbarkeit: Wie gut kann ich dein Programm für unbekannte Log-Formate anpassen? Es wird aktuell noch nix geprast

Also besserer Text-Viewer ^^

wfoertsch hat folgendes geschrieben :

Zitat: Und ohne dich entmutigen zu wollen: Hier im Forum gibt es einen HTTP Log Viewer, der bei Praxisrelevanten Log-Datenmengen (1 Server, 10 Domains, 2 Jahre Daten, ~2-3 GB komprimierte Logs) mal eben schlapp macht. Rechne mit solchen Datenmengen, denn die fallen durchaus an! Ganz davon abgesehen, dass der Log-Parser von besagtem Programm mal eben das Apache-Log-Format nicht sauber auswerten konnte (Custom-Format mit ein paar Zusatzangaben, die aber eindeutig anhand des Format-Strings auslesbar waren.) Ja das kenne ich unsere Hauptdomain hat seit Oktober letzten Jahres schon 2,2 GB bis heute... aber ich will ja auch keine Apache Logfile Auswertungen bauen im Moment.

Wirkte erstmal so ... Wobei Apache ja nur eines der Programme ist, die Logs produzieren und für die meisten vermutlich das offensichtlichste. Aber ne auth.log, mail.log, und dmesg.log wollen ja auch ausgewertet werden

wfoertsch hat folgendes geschrieben :

Vielen Dank nochmal für dein Feedback und ich denke mal drüber nach in welche Richtung ich das ganze realisieren möchte und vor allem kann Zu dem Login bei RSA-8192 sag ich dir mal die Messwerte. Gruß Wolle

Das Timing für's Login ist im Wesentlichen ein Wert, wie gut die von deiner SSH-Implementation verwendete Großzahl-Bibliothek ist. PuTTY ist nämlich bekanntermaßen lahm. Messwerte wenn möglich im Vergleich zu OpenSSH und PuTTY zur Einordnung.

wfoertsch hat folgendes geschrieben :

Moderiert von BenBE: Zitate gesplittet.

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.