syslog.cong

Post by **pseudo** » 2004-01-21 21:44

hi,

ich habe ein problem mit dem syslogd und iptables.
ich nutze zuhause einen linux-sevrer, der auch gut mit firewall tut.
einzigstes problem: wenn ich was loggen will, bekomme ich das alles in die messages-datei geschrieben.
ich hätte aber gern alles nach z.B. /var/log/iptables_log.

meine eigentliche Frage:
was genau muss ich in der syslog angeben, dass er mir alle einträge, die z.B. mit "iptableslog" beginnen in ne andere datei filtert?

ist das dann was in der richtung von:
kern.ip_tables /var/log/iptables_log
oder liege ich da ganz falsch?

danke für antwort im vorraus :-)

~pseudo
PS: ich glaub, ich steh da irgendwie total auf'm schlauch :-/

Post by **captaincrunch** » 2004-01-21 21:49

http://iptables-tutorial.frozentux.net/ ... #LOGTARGET

Stichwort: --log-level

Post by **pseudo** » 2004-01-21 21:54

In other words, setting kern.=info /var/log/iptables in your syslog.conf file and then letting all your LOG messages in iptables use log level info, would make all messages appear in the /var/log/iptables file. Note that there may be other messages here as well from other parts of the kernel that uses the info priority. For more information on logging I recommend you to read the syslog and syslog.conf man-pages as well as other HOWTOs etc.

soweit war ich schonmal.
vor 10 minz.
das iss ja das problem.
kann man in der syslog.conf nicht nach regulären ausdrücken filtern oder so ähnlich?

Post by **pseudo** » 2004-01-21 21:57

achso, hab ich fast vergessen :-D
ist denn der info-log-level nicht die regel?
ich bin noch nich so 100%ig firm, mit der log-geschichte.
man möge mir verzeihen :-)

Post by **captaincrunch** » 2004-01-21 21:59

Nö, iirc nicht mit dem "normalen" syslogd. metalog und (AFAIK) syslog-ng können sowas.

Alternativ nimm halt eine andere Log-Facilty.

Post by **pseudo** » 2004-01-21 22:04

halt mich bitte nich für dumm weil ich so viel frage...
aber welche facilitie soll ich denn nehmen?
die, die in der syslogd-man-page angegeben sind,
haben mit iptables nämlich nicht so viel zu tun :-/
(so sieht es mal für mich aus...)

Post by **pseudo** » 2004-01-21 22:10

Ich hab es ma noch grad rausgesucht:

The facility is one of the following keywords:
auth, authpriv, cron, daem
on, kern, lpr, mail, mark, news, security (same as auth),
sysÂlog, user, uucp and local0 through local7.

Post by **captaincrunch** » 2004-01-21 22:13

In dem Fall bieten sich die locals doch geradezu an, oder? ;)

Post by **pseudo** » 2004-01-21 22:17

bittebittebitte schreib n beispiel, ich raff es nich *g

Post by **wirsing** » 2004-01-22 16:31

Man kann keine iptables-Lognachrichten auf andere Facilities umleiten. Alle Logmeldungen laufen über den Kernel und damit zwangsläufig in die Facility kern.
Eine Möglichkeit ist es dagegen, statt LOG das ULOG (Userspace LOG) Target zu nutzen. Dazu ist zusätzlich der ulogd notwendig, der dann AFAIK von einem Socket liest. Howtos dazu kenne ich allerdings nicht.

Post by **captaincrunch** » 2004-01-22 20:09

Man kann keine iptables-Lognachrichten auf andere Facilities umleiten. Alle Logmeldungen laufen über den Kernel und damit zwangsläufig in die Facility kern.

Warum sagt mir dann das o.g. Howto etwas anderes? ;)

Post by **wirsing** » 2004-01-22 20:34

Wie genau willst du denn das Ganze mit dem LOG Target in die Facility local0 leiten? Es geht nicht. netfilter ist ein Teil des Kernels, insofern gehen alle Meldungen durch den Kernel und kommen im syslog in der kern-Facility 'raus.

Post by **captaincrunch** » 2004-01-22 20:39

Oh mann, manchmal sollte ich Sachen wirklich besser erstmal ausprobieren, bevor ich sie hier groß anpreise. Du hast natürlich absolut Recht, kern-Meldung bleibt kern-Meldung. :oops:

Post by **Joe User** » 2004-01-22 21:21

Syslog-ng:

Code: Select all

...
destination iptables { file("/var/log/iptables.log"); };
filter f_iptables { match("IN="); };
log { source(src); filter(f_iptables); destination(iptables); };
...

Post by **pseudo** » 2004-01-23 11:59

also mit dem syslog-ng bah ich noch nichts zu tun gehabt, aber hab den gestern mal installiert.
ich teste das ganze mal und tipp euch n nette feedback, wenn ich was haben sollte oder hänge :o)

Post by **pseudo** » 2004-01-23 12:34

also das tut.
bleibt nur die frage, wie ich es nun erreiche,
dass in messages nix mehr von iptables drinnsteht...
(was ja das eigentliche prob war...)

Post by **pseudo** » 2004-01-23 12:51

also so tut es :o) *freu*:
/etc/syslog-ng/syslog-ng.conf - folgendes kam dazu

#zum schreiben von ip-tables in eigene log-datei
destination iptables { file("/var/log/iptables.log"); };
filter f_iptables { match("IN="); };
log { source(src); filter(f_iptables); destination(iptables); };

#damit in messages nichts mit iptables reingeschrieben wird
#das hier
destination messages { file("/var/log/messages"); };
log { source(src); filter(f_messages); destination(messages); };

#nach dem hier ändern:
destination messages { file("/var/log/messages"); };
filter f_messages {match("!IN="); };
log { source(src); filter(f_messages); destination(messages); };

danke nochmal an alle :-)

RootForum Community

syslog.cong

syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong

Re: syslog.cong