Hallo zusammen,

ich würde gerne betreffende Pakete von meiner Firewall loggen und in /var/log/firewall ablegen lassen. Sobald ich jedoch iptables die Option -j LOG angebe, schreibt er mir die ganzen Meldungen auf den Bildschirm (macht sich natürlich schlecht, wenn man beim Dateien editieren ist :( )

Ich habe gelesen, dass das auch mit der Konfiguration des syslogd zusammenhängt. Leider habe ich keine Ahnung was ich wie ändern muss, um die Meldungen über die betreffenden Pakete in die betreffende Datei zu bekommen :rolleyes:

/etc/syslog.conf




# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.
authpriv.* /var/log/secure

# Log all the mail messages in one place.
mail.* /var/log/maillog


# Log cron stuff
cron.* /var/log/cron

# Everybody gets emergency messages
*.emerg *

# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log
local7.* /var/log/boot.log



Danke für eure Hinweise.

Hab es selber hinbekommen.

Für alle die es noch interessieren sollte:

zur /etc/syslog.conf folgendes hinzufügen



kern.=info /var/log/firewall


betreffende Firewallregel so ändern:



iptables ......... -j LOG --log-level info


That's it
:D

hallo!

hmm, und wie kann ich es machen das eine bistimmte logfile für ein firewallereignis geführt wird?

z.b:

iptables -A INPUT -p tcp --source $BAD_USER -j LOG --log-level bad_user_log

dann in der syslog.conf
kern.=bad_user_log /var/log/bad_user_logfile

wenn ich das so mache bringt iptables den fehler "unknown loglevel: bad_user_log"
wie kann ich denn sowas machen?

mfg
richard

Hi,

ich glaube das --log-level ist abhängig von den möglichen Protokollierungsklassen des syslogd.



iptables -A INPUT -p tcp --source $BAD_USER -j LOG --log-level bad_user_log


bad_user_log ist keine gültige Protokollierungsklasse. Ob man jedoch selber welche einrichten kann weiß ich nicht :(

Am besten, du schaust hier (http://www.thomas-fahle.de/pub/perl/UNIX/Sys_Syslog.html) mal nach. Vielleicht findest du etwas brauchbares ;)

sind Meldungen des Kernels.
Du kannst sie dshalb nur in 8 ( 0-7) verschiedene Bereiche aufteilen, der sogennanten Protokollierungspriorität.
Also --log-level 0 == debug usw.
wenn du dann in der syslog.conf schreibst:
kern.=debug /var/log/firewall-debug
werden alle diese Firewallmeldungen in dieser File abgelegt.
usw usw usw.

Also mit dem sysld geht es nicht, vielleicht mit einem anderem Logger ?

T;o)Mes