Tag Leute,

ich würde gern die FW Meldungen in eine Datei umleiten, da ers bei mir immer auf die aktuelle Konsole
schmeißt. Das nervt auf dauer sehr.

Hier mal ein Ausschnitt von meinem Skript:

$IPT -t filter -A OUTPUT -m limit --limit 1/m --limit-burst 4 -j LOG --log-prefix "Wrong OUTPUT: "
$IPT -t filter -A FORWARD -m limit --limit 1/m --limit-burst 4 -j LOG --log-prefix "Wrong FORWARD: "
$IPT -t filter -A FORWARD -j DROP

jede Zeile endet im grunde mit --log-prefix kann ich das mit einer einzelnen Zeile am schluß komplett
umleiten oder muß ich jede Zeile bearbeiten??
Ich hab leider nicht viel Ahnnug davon weil ich das Skript nicht geschrieben habe.

THX FOR HELP!

Profbunny

hi

wo die meldungen deiner firewall landen, entscheidet der von dir eingesetzte log-dämon. in aller regel ist dies der syslogd, den du über die syslog.conf konfigurierst.


Gruß HL

Danke erstmal. Hab in der man geschaut. Hab auch was gefunden,
ich denke mal ich muß den log level ändern.

Laut man syslog gibt LOG_CON den eintrag direkt auf console, also wie bei mir.
Aber so eine Zeile gibt es nicht.

Könnte es sein daß das diese Zeile ist?

daemon.*;mail.*;\
news.crit;news.err;news.notice;\
*.=debug;*.=info;\
*.=notice;*.=warn |/dev/xconsole (dachte an diese Zeile, bin mir aber nich sicher)


Kann ich da einfach eine Datei angeben??

Profbunny

hi

für die firewall meldungen ist die facility kern zuständig. wenn du deine firewall meldungen also in einem extra logfile haben möchtest, füge folgende zeile ein

kern.=warn /var/log/firewall

damit wird alles ab einer priorität warn in das file /var/log/firewall geschrieben. allerdings landen dann auch andere meldungen vom kernel in diesem file.

tomes hat vor einigen tagen einen guten link zum syslogd gepostet

http://www.infodrom.org/~joey/Writing/Linux-Magazin/syslogd.html


Gruß HL

Danke für deine Antworten.

Übrigens eine interessante Seite.



ProfBunny

Hi

Hab es soeben probiert.
Mit deiner Befehlszeile.

Erfolg gleich 0.Der haut mir die Meldungen immer noch auf die aktuelle Konsole.

Die Datei /var/log/firewall hat er angelegt, ist aber leer!:confused:

Kann das sein das er die befehle von oben an durchgeht, so das der andere Befehl eher greift??
Dazu stand nix auf der Seite.


ein ratloser

Profbunny

hi

kommentier die zeile mal aus

#*.=notice;*.=warn |/dev/xconsole



Gruß HL

Ich habs auskommentiert, aber es funktioniert
immer noch nicht.

Datei /var/log/firewall is immer noch leer.

:confused: :confused:

Profbunny

hi

erscheinen die meldungen denn immer noch auf der konsole?


bei der momentanen konfiguration werden ereignisse erst gelogt, ab der priorität warn. möglich das solch ein *ereignis* noch gar nicht an deiner firewall aufgelaufen ist. mach doch mal einen online scan oder setzt die priotität auf =info runter oder noch besser auf *

kern.* /var/log/firewall


Gruß HL

Original geschrieben von ProfBunny
Ich habs auskommentiert, aber es funktioniert
immer noch nicht.

Datei /var/log/firewall is immer noch leer.


mit welchen parametern wird klogd gestartet, insbesondere '-c' ist interessant.

kernel-meldungen nimmt klogd entgegen und leitet diese an syslogd weiter.

siehe 'man klogd' parameter '-c'

-j

Hallo profibunni,

bei mir sieht die Zeile in /etc/syslog so aus:

kern.* -/var/log/firewall

Alle Einträge des Paketfilters ("Firewall") landen in /var/log/firewall.

Viele Grüße,
CEROG

funktioniert alles nicht, ich bekomm die Meldungen immer noch auf die Konsole.

Allerdings schreibt er jetzt was in die datei /var/log/firewall

Dec 11 17:29:59 sisyphus syslogd 1.4.1#10: restart.
Dec 11 17:38:01 sisyphus cron(pam_unix)[6295]: session opened for user mail by (uid=0)
Dec 11 17:38:01 sisyphus /USR/SBIN/CRON[6296]: (mail) CMD ( if [ -x /usr/sbin/exim -a -f /etc/exim/exim.conf ]; then /usr/sbin/exim -q ; fi)
Dec 11 17:38:02 sisyphus cron(pam_unix)[6295]: session closed for user mail
Dec 11 17:49:59 sisyphus -- MARK --
Dec 11 17:53:01 sisyphus cron(pam_unix)[6392]: session opened for user mail by (uid=0)
Dec 11 17:53:01 sisyphus /USR/SBIN/CRON[6393]: (mail) CMD ( if [ -x /usr/sbin/exim -a -f /etc/exim/exim.conf ]; then /usr/sbin/exim -q ; fi)
Dec 11 17:53:01 sisyphus cron(pam_unix)[6392]: session closed for user mail
Dec 11 17:57:07 sisyphus exiting on signal 15
Dec 11 17:57:08 sisyphus syslogd 1.4.1#10: restart.
Dec 11 17:57:21 sisyphus login(pam_unix)[6378]: session opened for user root by LOGIN(uid=0)

wozu das??
@Jasper

wie bekomm ich raus mit welchen Parametern klogd startet??
in der syslog steht:

Dec 11 12:39:52 sisyphus kernel: klogd 1.4.1#10, log source = /proc/kmsg started.

Profbunny

hi

was ist das eigentlich für eine distri? kann sein das ich jetzt auf dem falschen dampfer unterwegs bin. aber ein \ bedeutet doch, das alles in einer zeile steht.

daemon.*;mail.*;\
news.crit;news.err;news.notice;\
*.=debug;*.=info;\
*.=notice;*.=warn |/dev/xconsole

das würde doch dann bedeuten, das nicht nur die letzte zeile auf die konsole geschmissen wird, sonder alles daemon, mail etc.

wo hast du denn auskommentiert? nur die letzte zeile?

Ich hab nur die letzte auskommentiert.
Ich bekomm auch nur die FWS Meldungen, alles andere wir schön in die dateien geschoben.

Disri: Debian Sarge


ProfBunny

Hallo profibunny,

ich hab dir mal meine /etc/sysconfig angehängt.

Vielleicht vergleichst du diese mal mit deiner. Oder installierst sie bei dir und probierst das ganze mal aus.

Ich verwende SuSE8.0 Professional, das sollte aber in diesem Fall egal sein.

Viele Grüße,
CEROG

hi


Ich bekomm auch nur die FWS Meldungen, alles andere wir schön in die dateien geschoben.

dann poste nochmal die gesamte conf

Hier die komplette /etc/syslog.conf

# /etc/syslog.conf Configuration file for syslogd.
#
# For more information see syslog.conf(5)
# manpage.

#
# First some standard logfiles. Log by facility.
#

auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
uucp.* /var/log/uucp.log

#
# Logging for the mail system. Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err

# Logging for INN news system
#
news.crit /var/log/news/news.crit
news.err /var/log/news/news.err
news.notice -/var/log/news/news.notice

#
# Some `catch-all' logfiles.
#
*.=debug;\
auth,authpriv.none;\
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg *

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
# news.=crit;news.=err;news.=notice;\
# *.=debug;*.=info;\
# *.=notice;*.=warn /dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility. To use it,
# you must invoke `xconsole' with the `-file' option:
#
# $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
# busy site..
#
daemon.*;mail.*;\
news.crit;news.err;news.notice;\
*.=debug;*.=info;\
# *.=notice;*.=warn |/dev/xconsole

kern.*=warn |/var/log/firewall

Profbunny

hi

kommentier hier mal alles aus

# The named pipe /dev/xconsole is for the `xconsole' utility. To use it,
# you must invoke `xconsole' with the `-file' option:
#
# $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
# busy site..
#
#daemon.*;mail.*;\
#news.crit;news.err;news.notice;\
# *.=debug;*.=info;\
# *.=notice;*.=warn |/dev/xconsole


eine Priorität geht nur, entweder * als platzhalter für alles oder =warn für alles ab warn.

kern.* |/var/log/firewall

oder

kern.=warn |/var/log/firewall


Gruß HL

Hi Profibunny,

ändere doch mal deine letzte Zeile von
kern.*=warn |/var/log/firewall

in kern.* -/var/log/firewall

(Siehe meine syslog.conf in meinem letzten posting)

Viele Grüße,

Cerog

Hab ich so gemacht, geht immer noch nicht.

Profbunny

hm, dann kann es eigentlich nur noch hier dran liegen

#
# Emergencies are sent to everybody logged in.
#
# *.emerg *


kommentier das auch mal aus

Immernoch ohne das gewünschte Ergebnis.

Profbunny

Vielleicht solltet ihr mal Jasper's Hinweis befolgen. ;) Er hat nämlich recht. man klogd für weitere Infos. Notfalls hilft auch man dmesg weiter.

Hallo

jetzt gehts, hab den loglevel geändert mit

klogd -c 4

kann ich das einfach so in die datei /etc/init.d/klogd schreiben,
damit er das beim systemstart macht.

er schreibts zwar jetzt nich in die Datei /var/log/firewall aber das is mir jetzt auch egal.

Profbunny

@Belkira

ja so sind se, ja nicht auf die *alten hasen* hören ;)

also an der stelle muß ich dann passen, bei mir läuft kein klogd.


Gruß HL