Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewallmeldungen in Datei umleiten
Tag Leute,
ich würde gern die FW Meldungen in eine Datei umleiten, da ers bei mir immer auf die aktuelle Konsole
schmeißt. Das nervt auf dauer sehr.
Hier mal ein Ausschnitt von meinem Skript:
$IPT -t filter -A OUTPUT -m limit --limit 1/m --limit-burst 4 -j LOG --log-prefix "Wrong OUTPUT: "
$IPT -t filter -A FORWARD -m limit --limit 1/m --limit-burst 4 -j LOG --log-prefix "Wrong FORWARD: "
$IPT -t filter -A FORWARD -j DROP
jede Zeile endet im grunde mit --log-prefix kann ich das mit einer einzelnen Zeile am schluß komplett
umleiten oder muß ich jede Zeile bearbeiten??
Ich hab leider nicht viel Ahnnug davon weil ich das Skript nicht geschrieben habe.
THX FOR HELP!
Profbunny
hi
wo die meldungen deiner firewall landen, entscheidet der von dir eingesetzte log-dämon. in aller regel ist dies der syslogd, den du über die syslog.conf konfigurierst.
Gruß HL
Danke erstmal. Hab in der man geschaut. Hab auch was gefunden,
ich denke mal ich muß den log level ändern.
Laut man syslog gibt LOG_CON den eintrag direkt auf console, also wie bei mir.
Aber so eine Zeile gibt es nicht.
Könnte es sein daß das diese Zeile ist?
daemon.*;mail.*;\
news.crit;news.err;news.notice;\
*.=debug;*.=info;\
*.=notice;*.=warn |/dev/xconsole (dachte an diese Zeile, bin mir aber nich sicher)
Kann ich da einfach eine Datei angeben??
Profbunny
hi
für die firewall meldungen ist die facility kern zuständig. wenn du deine firewall meldungen also in einem extra logfile haben möchtest, füge folgende zeile ein
kern.=warn /var/log/firewall
damit wird alles ab einer priorität warn in das file /var/log/firewall geschrieben. allerdings landen dann auch andere meldungen vom kernel in diesem file.
tomes hat vor einigen tagen einen guten link zum syslogd gepostet
http://www.infodrom.org/~joey/Writing/Linux-Magazin/syslogd.html
Gruß HL
Danke für deine Antworten.
Übrigens eine interessante Seite.
ProfBunny
Hi
Hab es soeben probiert.
Mit deiner Befehlszeile.
Erfolg gleich 0.Der haut mir die Meldungen immer noch auf die aktuelle Konsole.
Die Datei /var/log/firewall hat er angelegt, ist aber leer!:confused:
Kann das sein das er die befehle von oben an durchgeht, so das der andere Befehl eher greift??
Dazu stand nix auf der Seite.
ein ratloser
Profbunny
hi
kommentier die zeile mal aus
#*.=notice;*.=warn |/dev/xconsole
Gruß HL
Ich habs auskommentiert, aber es funktioniert
immer noch nicht.
Datei /var/log/firewall is immer noch leer.
:confused: :confused:
Profbunny
hi
erscheinen die meldungen denn immer noch auf der konsole?
bei der momentanen konfiguration werden ereignisse erst gelogt, ab der priorität warn. möglich das solch ein *ereignis* noch gar nicht an deiner firewall aufgelaufen ist. mach doch mal einen online scan oder setzt die priotität auf =info runter oder noch besser auf *
kern.* /var/log/firewall
Gruß HL
Original geschrieben von ProfBunny
Ich habs auskommentiert, aber es funktioniert
immer noch nicht.
Datei /var/log/firewall is immer noch leer.
mit welchen parametern wird klogd gestartet, insbesondere '-c' ist interessant.
kernel-meldungen nimmt klogd entgegen und leitet diese an syslogd weiter.
siehe 'man klogd' parameter '-c'
-j
Hallo profibunni,
bei mir sieht die Zeile in /etc/syslog so aus:
kern.* -/var/log/firewall
Alle Einträge des Paketfilters ("Firewall") landen in /var/log/firewall.
Viele Grüße,
CEROG
funktioniert alles nicht, ich bekomm die Meldungen immer noch auf die Konsole.
Allerdings schreibt er jetzt was in die datei /var/log/firewall
Dec 11 17:29:59 sisyphus syslogd 1.4.1#10: restart.
Dec 11 17:38:01 sisyphus cron(pam_unix)[6295]: session opened for user mail by (uid=0)
Dec 11 17:38:01 sisyphus /USR/SBIN/CRON[6296]: (mail) CMD ( if [ -x /usr/sbin/exim -a -f /etc/exim/exim.conf ]; then /usr/sbin/exim -q ; fi)
Dec 11 17:38:02 sisyphus cron(pam_unix)[6295]: session closed for user mail
Dec 11 17:49:59 sisyphus -- MARK --
Dec 11 17:53:01 sisyphus cron(pam_unix)[6392]: session opened for user mail by (uid=0)
Dec 11 17:53:01 sisyphus /USR/SBIN/CRON[6393]: (mail) CMD ( if [ -x /usr/sbin/exim -a -f /etc/exim/exim.conf ]; then /usr/sbin/exim -q ; fi)
Dec 11 17:53:01 sisyphus cron(pam_unix)[6392]: session closed for user mail
Dec 11 17:57:07 sisyphus exiting on signal 15
Dec 11 17:57:08 sisyphus syslogd 1.4.1#10: restart.
Dec 11 17:57:21 sisyphus login(pam_unix)[6378]: session opened for user root by LOGIN(uid=0)
wozu das??
@Jasper
wie bekomm ich raus mit welchen Parametern klogd startet??
in der syslog steht:
Dec 11 12:39:52 sisyphus kernel: klogd 1.4.1#10, log source = /proc/kmsg started.
Profbunny
hi
was ist das eigentlich für eine distri? kann sein das ich jetzt auf dem falschen dampfer unterwegs bin. aber ein \ bedeutet doch, das alles in einer zeile steht.
daemon.*;mail.*;\
news.crit;news.err;news.notice;\
*.=debug;*.=info;\
*.=notice;*.=warn |/dev/xconsole
das würde doch dann bedeuten, das nicht nur die letzte zeile auf die konsole geschmissen wird, sonder alles daemon, mail etc.
wo hast du denn auskommentiert? nur die letzte zeile?
Ich hab nur die letzte auskommentiert.
Ich bekomm auch nur die FWS Meldungen, alles andere wir schön in die dateien geschoben.
Disri: Debian Sarge
ProfBunny
Hallo profibunny,
ich hab dir mal meine /etc/sysconfig angehängt.
Vielleicht vergleichst du diese mal mit deiner. Oder installierst sie bei dir und probierst das ganze mal aus.
Ich verwende SuSE8.0 Professional, das sollte aber in diesem Fall egal sein.
Viele Grüße,
CEROG
hi
Ich bekomm auch nur die FWS Meldungen, alles andere wir schön in die dateien geschoben.
dann poste nochmal die gesamte conf
Hier die komplette /etc/syslog.conf
# /etc/syslog.conf Configuration file for syslogd.
#
# For more information see syslog.conf(5)
# manpage.
#
# First some standard logfiles. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
uucp.* /var/log/uucp.log
#
# Logging for the mail system. Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err
# Logging for INN news system
#
news.crit /var/log/news/news.crit
news.err /var/log/news/news.err
news.notice -/var/log/news/news.notice
#
# Some `catch-all' logfiles.
#
*.=debug;\
auth,authpriv.none;\
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages
#
# Emergencies are sent to everybody logged in.
#
*.emerg *
#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
# news.=crit;news.=err;news.=notice;\
# *.=debug;*.=info;\
# *.=notice;*.=warn /dev/tty8
# The named pipe /dev/xconsole is for the `xconsole' utility. To use it,
# you must invoke `xconsole' with the `-file' option:
#
# $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
# busy site..
#
daemon.*;mail.*;\
news.crit;news.err;news.notice;\
*.=debug;*.=info;\
# *.=notice;*.=warn |/dev/xconsole
kern.*=warn |/var/log/firewall
Profbunny
hi
kommentier hier mal alles aus
# The named pipe /dev/xconsole is for the `xconsole' utility. To use it,
# you must invoke `xconsole' with the `-file' option:
#
# $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
# busy site..
#
#daemon.*;mail.*;\
#news.crit;news.err;news.notice;\
# *.=debug;*.=info;\
# *.=notice;*.=warn |/dev/xconsole
eine Priorität geht nur, entweder * als platzhalter für alles oder =warn für alles ab warn.
kern.* |/var/log/firewall
oder
kern.=warn |/var/log/firewall
Gruß HL
Hi Profibunny,
ändere doch mal deine letzte Zeile von
kern.*=warn |/var/log/firewall
in kern.* -/var/log/firewall
(Siehe meine syslog.conf in meinem letzten posting)
Viele Grüße,
Cerog
Hab ich so gemacht, geht immer noch nicht.
Profbunny
hm, dann kann es eigentlich nur noch hier dran liegen
#
# Emergencies are sent to everybody logged in.
#
# *.emerg *
kommentier das auch mal aus
Immernoch ohne das gewünschte Ergebnis.
Profbunny
Vielleicht solltet ihr mal Jasper's Hinweis befolgen. ;) Er hat nämlich recht. man klogd für weitere Infos. Notfalls hilft auch man dmesg weiter.
Hallo
jetzt gehts, hab den loglevel geändert mit
klogd -c 4
kann ich das einfach so in die datei /etc/init.d/klogd schreiben,
damit er das beim systemstart macht.
er schreibts zwar jetzt nich in die Datei /var/log/firewall aber das is mir jetzt auch egal.
Profbunny
@Belkira
ja so sind se, ja nicht auf die *alten hasen* hören ;)
also an der stelle muß ich dann passen, bei mir läuft kein klogd.
Gruß HL
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.