Anzeige:
Ergebnis 1 bis 13 von 13

Thema: iptables loglevel

  1. #1
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.243

    iptables loglevel

    Hi,

    ich will nur die established connections loggen

    Code:
    # Generated by iptables-save v1.4.21 on Wed Jul 27 12:18:41 2016
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -m state --state ESTABLISHED -j LOG --log-prefix "IPTABLES_INCOMING "
    -A OUTPUT -m state --state ESTABLISHED -j LOG  --log-prefix "IPTABLES_OUTGOING "
    COMMIT
    # Completed on Wed Jul 27 12:18:41 201
    Leider ist der Output immens, wie bekomme ich das Loglevel dafuer unter kontrolle
    rsyslog.d/iptables_ded.conf
    [CODE]
    :msg, contains, "IPTABLES_INCOMING" -/var/log/iptables_ded.log
    & ~
    :msg, contains, "IPTABLES_OUTGOING" -/var/log/iptables_ded.log
    & ~
    [CODE]
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  2. #2
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Was möchtest du denn genau als Ausgabe?

    Der imense In-/Output ist so gesehen erstmal logisch.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  3. #3
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.243
    Ich will letztendlich eine Liste mit Quelle Ziel Port (Static Listen Port) und Anzahl der Connections (diese sind bei zu grosser Datenmenge optional) um zu klaeren mit was meine Maschine so den ganzen Tag spricht.

    gruss Stefan
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  4. #4
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.243
    hm.. da wir in einer anderen rsyslog config auch Netzwerk (auth, ...) Zeuchs wegschreiben

    Code:
    *.*;local0.none;local1.none;local2.none;local3.none;local4.none;local5.none;local6.none;local7.none            @@special-Log.Server.intern
    will ich das iptables Zeug ueber local7 im rsyslog haben.

    Leider habe ich keine Ahnung von den local0-7 Kanaelen , ausser dass es sie gibt.

    Gruss Stefan
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  5. #5
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Ok da wüsst ich jetzt nicht wirklich eine Option/Filter bei rsyslog.
    Den ganzen Misst dann in ein anderes Log-File zu leiten wäre auch nicht das Gelbe vom Ei.

    Als Ansatz würde mir da fwlogwatch in Verbindung mit ner Pipe einfallen.

    - mkfifo /var/irgendwo/tmp/ip_log.tmp
    - rsyslog in /var/irgendwo/tmp/ip_log.tmp
    - fwlogwatch von /var/irgendwo/tmp/ip_log.tmp in /var/www/html/zusammenfassung.html

    Oder eben einen Ersatz für fwlogwatch ggf. auch selbst geschrieben.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  6. #6
    Registrierter Benutzer
    Registriert seit
    Jun 2006
    Beiträge
    194
    Gibt es evtl. alternativen wie ntop? Ich würde dafür nicht unbedingt Logfiles auswerten lassen.

  7. #7
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.243
    Nur zum Verstaendniss fuer euch, das Netzwerkzeuchs das weggeschrieben wird, landet nur auf Remote, nicht local, darauf habe ich wegen SEC keinen Zugriff, heisst ich kann nicht einfach ein bestehendes Log auswerten.
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  8. #8
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Da wo das Remote landet hast du aber Zugriff? Und kannst das Ziel-Log-File als Pipe setzen und dann das Gefiltere vornehmen und ein richtiges log schreiben?
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  9. #9
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.243
    Nein auf die Remote Logs habe ich keinen Zugriff, das ist unserer SEC vorbehalten, ich muss meine Daten selbst ausleiten.
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  10. #10
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Kannst du deine Berechtigungen näher erläutern?
    Allein mit rsyslog "Schalter" "mach weniger" wirds nicht gehen.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  11. #11
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.243
    Nein die Berechtigungen werde ich nicht naeher erklaeren, ich habe keinen Zugriff auf die Hostlogs die per rsyslog exportiert werden, ausser durch Konfiguration des rsyslog daemon. Nur soviel, das ist die schone Welt der Trennung von Entwicklung und Infratrukturbetrieb
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  12. #12
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Das ist wie bei vielen anderen Fragen auch.
    Ohne den nötigen Informationen ist ein Helfen schwer bis unmöglich.

    Irgendwie ist das auch nicht die feine englische Art, wenn schon ein zwei Minuten "Arbeit" in Antworten investiert wurde. In der Zeit hätte ich auch Staubsaugen können

    Wenn das ein so sensibler Bereich ist würde ich grundsätzlich gar keine Anfragen in Foren stellen.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  13. #13
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.243
    Ich nehme mal mit, ich muss mich mit unserer Sec einigen
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


Ähnliche Themen

  1. ssh und und der LogLevel
    Von Thovan im Forum Linux als Server
    Antworten: 0
    Letzter Beitrag: 29.09.06, 22:43
  2. LogLevel für Cyrus_IMAP
    Von pixel im Forum Linux als Server
    Antworten: 3
    Letzter Beitrag: 28.09.06, 17:48
  3. smbd loglevel
    Von altomom im Forum Linux in heterogenen Netzen
    Antworten: 0
    Letzter Beitrag: 15.05.06, 18:14
  4. mysql + loglevel
    Von Thhunder im Forum Linux als Server
    Antworten: 3
    Letzter Beitrag: 29.08.05, 14:10
  5. LogLevel-Abstufungen bei mod_jk
    Von Chmeee im Forum Linux als Server
    Antworten: 2
    Letzter Beitrag: 12.04.05, 14:23

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •