iptables & syslog

[tsaenger]

Hallo zusammen,

ich habe auf Grund von Debuging meiner NAT-Regel das Logging von iptables aktiviert.

Code: Select all

-A INPUT -j LOG --log-prefix "IPTABLES-INPUT: "
-A FORWARD -j LOG --log-prefix "IPTABLES-FORWARD: "
-A OUTPUT -j LOG --log-prefix "IPTABLES-OUTPUT: "

Nun stell ich mir die Frage, wie ich mit einfachen Systemmitteln das Logging in eine seperate Datei bekomme.
Kann ich dem log-daemon sagen, das alles was mit IPTABLES beginnt in eine eigene File geschrieben werden soll?


Gruß und Danke

Tobias

[Roger Wilco]

Kann ich dem log-daemon sagen, das alles was mit IPTABLES beginnt in eine eigene File geschrieben werden soll?

Das kommt auf den von dir verwendeten syslogd an. Mit syslog-ng und rsyslog geht das.

[tsaenger]

hi,

also ich verwende rsyslog.

Gruß

Tobias

[Roger Wilco]

Und warum hast du dann nicht einfach mal den Abschnitt "Filter Conditions" in der Manpage rsyslog.conf(5) bzw. http://www.rsyslog.com/doc/rsyslog_conf_filter.html gelesen?

[tsaenger]

Hallo Roger Wilco,

das hatte ich ja.
Aber es hatte nicht funktioniert.

Nun habe ich aber ein Leerzeichen zu viel entdeckt.
Nachdem ich es entfernt habe, funktioniert es auch so wie ich es mir vorgestellt habe.

Danke.

Tobias

Für alle die es interessiert:

/etc/rsyslog.d/iptables.conf

Code: Select all

:msg, startswith, "IPTABLES" -/var/log/iptables.log
& ~

/etc/logrotate.d/iptables

Code: Select all

/var/log/iptables.log
{
	rotate 7
	daily
	missingok
	notifempty
	delaycompress
	compress
	postrotate
		invoke-rc.d rsyslog reload > /dev/null
	endscript
}

und natürlich in iptables:

Code: Select all

-A INPUT -j LOG --log-prefix "IPTABLES-INPUT: "
-A FORWARD -j LOG --log-prefix "IPTABLES-FORWARD: "
-A OUTPUT -j LOG --log-prefix "IPTABLES-OUTPUT:

[edit (matzewe01): Habe es in code Tags gepackt und hoffentlich nichts verbogen dadurch.]

[tsaenger]

Vielen Dank Matzewe01 fürs CODE-Packing.

Habe aber noch ne Frage dazu:
Hab nun versucht auf nem anderen System genau das selbe zu tun, dort war allerdings noch der klogd installiert.
Diesen habe ich nun durch den rsyslog ersetzt.
Momentan log er auch noch alles schön brav weiterhin in die /var/log/syslog
Allerding mein Iptables.conf interessiert den wohl nicht.
Hat jemand noch ne Ahnung woran das liegen könnte.
Im syslog steht, nach dem restart nur:

Code: Select all

Sep  2 17:07:51 Debian-50-lenny-64-minimal kernel: Kernel logging (proc) stopped.
Sep  2 17:07:51 Debian-50-lenny-64-minimal kernel: imklog 3.18.6, log source = /proc/kmsg started.
Sep  2 17:07:51 Debian-50-lenny-64-minimal rsyslogd: [origin software="rsyslogd" swVersion="3.18.6" x-pid="9636" x-info="http://www.rsyslog.com"] restart
Sep  2 17:10:08 Debian-50-lenny-64-minimal kernel: [2011981.371742] IPTABLES-OUTPUT: IN= OUT=eth0

Die iptables.log wird angelegt, aber dort leider nichts protokolliert.

Gruß und Danke

Tobias

[tsaenger]

Hat jemand ne idee, wie ich den timestamp bei dem logging von iptables deaktiviert bekomme?

gruß

Tobias

[tsaenger]

Hab es nun quickAndDirty gelöst, indem ich den --log-prefix selber eindeutig gewählt habe und anstelle von

Code: Select all

:msg, startswith, "IPTABLES" -/var/log/iptables.log

ein

Code: Select all

:msg, contains, "eindeutigerPrefix" -/var/log/iptables.log

verwendet habe.

gruß

Tobias