RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

iptables & syslog

https://www.rootforum.org/forum/viewtopic.php?t=51380

Page 1 of 1

iptables & syslog

Posted: 2010-09-02 15:12
by tsaenger
Hallo zusammen,

ich habe auf Grund von Debuging meiner NAT-Regel das Logging von iptables aktiviert.

Code: Select all

-A INPUT -j LOG --log-prefix "IPTABLES-INPUT: "
-A FORWARD -j LOG --log-prefix "IPTABLES-FORWARD: "
-A OUTPUT -j LOG --log-prefix "IPTABLES-OUTPUT: "
Nun stell ich mir die Frage, wie ich mit einfachen Systemmitteln das Logging in eine seperate Datei bekomme.
Kann ich dem log-daemon sagen, das alles was mit IPTABLES beginnt in eine eigene File geschrieben werden soll?


Gruß und Danke

Tobias

Re: iptables & syslog

Posted: 2010-09-02 15:40
by Roger Wilco
tsaenger wrote:Kann ich dem log-daemon sagen, das alles was mit IPTABLES beginnt in eine eigene File geschrieben werden soll?
Das kommt auf den von dir verwendeten syslogd an. Mit syslog-ng und rsyslog geht das.

Re: iptables & syslog

Posted: 2010-09-02 16:21
by tsaenger
hi,

also ich verwende rsyslog.

Gruß

Tobias

Re: iptables & syslog

Posted: 2010-09-02 16:29
by Roger Wilco
Und warum hast du dann nicht einfach mal den Abschnitt "Filter Conditions" in der Manpage rsyslog.conf(5) bzw. http://www.rsyslog.com/doc/rsyslog_conf_filter.html gelesen?

Re: iptables & syslog

Posted: 2010-09-02 16:37
by tsaenger
Hallo Roger Wilco,

das hatte ich ja.
Aber es hatte nicht funktioniert.

Nun habe ich aber ein Leerzeichen zu viel entdeckt.
Nachdem ich es entfernt habe, funktioniert es auch so wie ich es mir vorgestellt habe.

Danke.

Tobias

Für alle die es interessiert:

/etc/rsyslog.d/iptables.conf

Code: Select all

:msg, startswith, "IPTABLES" -/var/log/iptables.log
& ~
/etc/logrotate.d/iptables

Code: Select all

/var/log/iptables.log
{
	rotate 7
	daily
	missingok
	notifempty
	delaycompress
	compress
	postrotate
		invoke-rc.d rsyslog reload > /dev/null
	endscript
}
und natürlich in iptables:

Code: Select all

-A INPUT -j LOG --log-prefix "IPTABLES-INPUT: "
-A FORWARD -j LOG --log-prefix "IPTABLES-FORWARD: "
-A OUTPUT -j LOG --log-prefix "IPTABLES-OUTPUT:
[edit (matzewe01): Habe es in code Tags gepackt und hoffentlich nichts verbogen dadurch.]

Re: iptables & syslog

Posted: 2010-09-02 17:15
by tsaenger
Vielen Dank Matzewe01 fürs CODE-Packing.

Habe aber noch ne Frage dazu:
Hab nun versucht auf nem anderen System genau das selbe zu tun, dort war allerdings noch der klogd installiert.
Diesen habe ich nun durch den rsyslog ersetzt.
Momentan log er auch noch alles schön brav weiterhin in die /var/log/syslog
Allerding mein Iptables.conf interessiert den wohl nicht.
Hat jemand noch ne Ahnung woran das liegen könnte.
Im syslog steht, nach dem restart nur:

Code: Select all

Sep  2 17:07:51 Debian-50-lenny-64-minimal kernel: Kernel logging (proc) stopped.
Sep  2 17:07:51 Debian-50-lenny-64-minimal kernel: imklog 3.18.6, log source = /proc/kmsg started.
Sep  2 17:07:51 Debian-50-lenny-64-minimal rsyslogd: [origin software="rsyslogd" swVersion="3.18.6" x-pid="9636" x-info="http://www.rsyslog.com"] restart
Sep  2 17:10:08 Debian-50-lenny-64-minimal kernel: [2011981.371742] IPTABLES-OUTPUT: IN= OUT=eth0
Die iptables.log wird angelegt, aber dort leider nichts protokolliert.

Gruß und Danke

Tobias

Re: iptables & syslog

Posted: 2010-09-03 11:16
by tsaenger
Hat jemand ne idee, wie ich den timestamp bei dem logging von iptables deaktiviert bekomme?

gruß

Tobias

Re: iptables & syslog

Posted: 2010-09-03 11:32
by tsaenger
Hab es nun quickAndDirty gelöst, indem ich den --log-prefix selber eindeutig gewählt habe und anstelle von

Code: Select all

:msg, startswith, "IPTABLES" -/var/log/iptables.log
ein

Code: Select all

:msg, contains, "eindeutigerPrefix" -/var/log/iptables.log
verwendet habe.

gruß

Tobias
All times are UTC+01:00
Page 1 of 1