-
iptables loglevel
Hi,
ich will nur die established connections loggen
Code:
# Generated by iptables-save v1.4.21 on Wed Jul 27 12:18:41 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED -j LOG --log-prefix "IPTABLES_INCOMING "
-A OUTPUT -m state --state ESTABLISHED -j LOG --log-prefix "IPTABLES_OUTGOING "
COMMIT
# Completed on Wed Jul 27 12:18:41 201
Leider ist der Output immens, wie bekomme ich das Loglevel dafuer unter kontrolle
rsyslog.d/iptables_ded.conf
[CODE]
:msg, contains, "IPTABLES_INCOMING" -/var/log/iptables_ded.log
& ~
:msg, contains, "IPTABLES_OUTGOING" -/var/log/iptables_ded.log
& ~
[CODE]
-
Was möchtest du denn genau als Ausgabe?
Der imense In-/Output ist so gesehen erstmal logisch.
-
Ich will letztendlich eine Liste mit Quelle Ziel Port (Static Listen Port) und Anzahl der Connections (diese sind bei zu grosser Datenmenge optional) um zu klaeren mit was meine Maschine so den ganzen Tag spricht.
gruss Stefan
-
hm.. da wir in einer anderen rsyslog config auch Netzwerk (auth, ...) Zeuchs wegschreiben
Code:
*.*;local0.none;local1.none;local2.none;local3.none;local4.none;local5.none;local6.none;local7.none @@special-Log.Server.intern
will ich das iptables Zeug ueber local7 im rsyslog haben.
Leider habe ich keine Ahnung von den local0-7 Kanaelen , ausser dass es sie gibt.
Gruss Stefan
-
Ok da wüsst ich jetzt nicht wirklich eine Option/Filter bei rsyslog.
Den ganzen Misst dann in ein anderes Log-File zu leiten wäre auch nicht das Gelbe vom Ei.
Als Ansatz würde mir da fwlogwatch in Verbindung mit ner Pipe einfallen.
- mkfifo /var/irgendwo/tmp/ip_log.tmp
- rsyslog in /var/irgendwo/tmp/ip_log.tmp
- fwlogwatch von /var/irgendwo/tmp/ip_log.tmp in /var/www/html/zusammenfassung.html
Oder eben einen Ersatz für fwlogwatch ggf. auch selbst geschrieben.
-
Gibt es evtl. alternativen wie ntop? Ich würde dafür nicht unbedingt Logfiles auswerten lassen.
-
Nur zum Verstaendniss fuer euch, das Netzwerkzeuchs das weggeschrieben wird, landet nur auf Remote, nicht local, darauf habe ich wegen SEC keinen Zugriff, heisst ich kann nicht einfach ein bestehendes Log auswerten.
-
Da wo das Remote landet hast du aber Zugriff? Und kannst das Ziel-Log-File als Pipe setzen und dann das Gefiltere vornehmen und ein richtiges log schreiben?
-
Nein auf die Remote Logs habe ich keinen Zugriff, das ist unserer SEC vorbehalten, ich muss meine Daten selbst ausleiten.
-
Kannst du deine Berechtigungen näher erläutern?
Allein mit rsyslog "Schalter" "mach weniger" wirds nicht gehen.
-
Nein die Berechtigungen werde ich nicht naeher erklaeren, ich habe keinen Zugriff auf die Hostlogs die per rsyslog exportiert werden, ausser durch Konfiguration des rsyslog daemon. Nur soviel, das ist die schone Welt der Trennung von Entwicklung und Infratrukturbetrieb;)
-
Das ist wie bei vielen anderen Fragen auch.
Ohne den nötigen Informationen ist ein Helfen schwer bis unmöglich.
Irgendwie ist das auch nicht die feine englische Art, wenn schon ein zwei Minuten "Arbeit" in Antworten investiert wurde. In der Zeit hätte ich auch Staubsaugen können :rolleyes:
Wenn das ein so sensibler Bereich ist würde ich grundsätzlich gar keine Anfragen in Foren stellen. :rolleyes:
-
Ich nehme mal mit, ich muss mich mit unserer Sec einigen