syslog.cong

Lesenswerte Artikel, Anleitungen und Diskussionen
pseudo
Posts: 54
Joined: 2003-08-08 10:08

syslog.cong

Post by pseudo » 2004-01-21 21:44

hi,

ich habe ein problem mit dem syslogd und iptables.
ich nutze zuhause einen linux-sevrer, der auch gut mit firewall tut.
einzigstes problem: wenn ich was loggen will, bekomme ich das alles in die messages-datei geschrieben.
ich hätte aber gern alles nach z.B. /var/log/iptables_log.

meine eigentliche Frage:
was genau muss ich in der syslog angeben, dass er mir alle einträge, die z.B. mit "iptableslog" beginnen in ne andere datei filtert?

ist das dann was in der richtung von:
kern.ip_tables /var/log/iptables_log
oder liege ich da ganz falsch?

danke für antwort im vorraus :-)

~pseudo
PS: ich glaub, ich steh da irgendwie total auf'm schlauch :-/

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: syslog.cong

Post by captaincrunch » 2004-01-21 21:49

DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

pseudo
Posts: 54
Joined: 2003-08-08 10:08

Re: syslog.cong

Post by pseudo » 2004-01-21 21:54

In other words, setting kern.=info /var/log/iptables in your syslog.conf file and then letting all your LOG messages in iptables use log level info, would make all messages appear in the /var/log/iptables file. Note that there may be other messages here as well from other parts of the kernel that uses the info priority. For more information on logging I recommend you to read the syslog and syslog.conf man-pages as well as other HOWTOs etc.

soweit war ich schonmal.
vor 10 minz.
das iss ja das problem.
kann man in der syslog.conf nicht nach regulären ausdrücken filtern oder so ähnlich?

pseudo
Posts: 54
Joined: 2003-08-08 10:08

Re: syslog.cong

Post by pseudo » 2004-01-21 21:57

achso, hab ich fast vergessen :-D
ist denn der info-log-level nicht die regel?
ich bin noch nich so 100%ig firm, mit der log-geschichte.
man möge mir verzeihen :-)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: syslog.cong

Post by captaincrunch » 2004-01-21 21:59

Nö, iirc nicht mit dem "normalen" syslogd. metalog und (AFAIK) syslog-ng können sowas.

Alternativ nimm halt eine andere Log-Facilty.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

pseudo
Posts: 54
Joined: 2003-08-08 10:08

Re: syslog.cong

Post by pseudo » 2004-01-21 22:04

halt mich bitte nich für dumm weil ich so viel frage...
aber welche facilitie soll ich denn nehmen?
die, die in der syslogd-man-page angegeben sind,
haben mit iptables nämlich nicht so viel zu tun :-/
(so sieht es mal für mich aus...)

pseudo
Posts: 54
Joined: 2003-08-08 10:08

Re: syslog.cong

Post by pseudo » 2004-01-21 22:10

Ich hab es ma noch grad rausgesucht:

The facility is one of the following keywords:
auth, authpriv, cron, daem
on, kern, lpr, mail, mark, news, security (same as auth),
sys­log, user, uucp and local0 through local7.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: syslog.cong

Post by captaincrunch » 2004-01-21 22:13

In dem Fall bieten sich die locals doch geradezu an, oder? ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

pseudo
Posts: 54
Joined: 2003-08-08 10:08

Re: syslog.cong

Post by pseudo » 2004-01-21 22:17

bittebittebitte schreib n beispiel, ich raff es nich *g

wirsing
RSAC
Posts: 611
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: syslog.cong

Post by wirsing » 2004-01-22 16:31

Man kann keine iptables-Lognachrichten auf andere Facilities umleiten. Alle Logmeldungen laufen über den Kernel und damit zwangsläufig in die Facility kern.
Eine Möglichkeit ist es dagegen, statt LOG das ULOG (Userspace LOG) Target zu nutzen. Dazu ist zusätzlich der ulogd notwendig, der dann AFAIK von einem Socket liest. Howtos dazu kenne ich allerdings nicht.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: syslog.cong

Post by captaincrunch » 2004-01-22 20:09

Man kann keine iptables-Lognachrichten auf andere Facilities umleiten. Alle Logmeldungen laufen über den Kernel und damit zwangsläufig in die Facility kern.
Warum sagt mir dann das o.g. Howto etwas anderes? ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

wirsing
RSAC
Posts: 611
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: syslog.cong

Post by wirsing » 2004-01-22 20:34

Wie genau willst du denn das Ganze mit dem LOG Target in die Facility local0 leiten? Es geht nicht. netfilter ist ein Teil des Kernels, insofern gehen alle Meldungen durch den Kernel und kommen im syslog in der kern-Facility 'raus.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: syslog.cong

Post by captaincrunch » 2004-01-22 20:39

Oh mann, manchmal sollte ich Sachen wirklich besser erstmal ausprobieren, bevor ich sie hier groß anpreise. Du hast natürlich absolut Recht, kern-Meldung bleibt kern-Meldung. :oops:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: syslog.cong

Post by Joe User » 2004-01-22 21:21

Syslog-ng:

Code: Select all

...
destination iptables { file("/var/log/iptables.log"); };
filter f_iptables { match("IN="); };
log { source(src); filter(f_iptables); destination(iptables); };
...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

pseudo
Posts: 54
Joined: 2003-08-08 10:08

Re: syslog.cong

Post by pseudo » 2004-01-23 11:59

also mit dem syslog-ng bah ich noch nichts zu tun gehabt, aber hab den gestern mal installiert.
ich teste das ganze mal und tipp euch n nette feedback, wenn ich was haben sollte oder hänge :o)

pseudo
Posts: 54
Joined: 2003-08-08 10:08

Re: syslog.cong

Post by pseudo » 2004-01-23 12:34

also das tut.
bleibt nur die frage, wie ich es nun erreiche,
dass in messages nix mehr von iptables drinnsteht...
(was ja das eigentliche prob war...)

pseudo
Posts: 54
Joined: 2003-08-08 10:08

Re: syslog.cong

Post by pseudo » 2004-01-23 12:51

also so tut es :o) *freu*:
/etc/syslog-ng/syslog-ng.conf - folgendes kam dazu

#zum schreiben von ip-tables in eigene log-datei
destination iptables { file("/var/log/iptables.log"); };
filter f_iptables { match("IN="); };
log { source(src); filter(f_iptables); destination(iptables); };

#damit in messages nichts mit iptables reingeschrieben wird
#das hier
destination messages { file("/var/log/messages"); };
log { source(src); filter(f_messages); destination(messages); };

#nach dem hier ändern:
destination messages { file("/var/log/messages"); };
filter f_messages {match("!IN="); };
log { source(src); filter(f_messages); destination(messages); };

danke nochmal an alle :-)