Bagaimana saya dapat mengkonfigurasi /etc/syslog.conffile untuk menyimpan informasi log tentang iptablesfile tertentu.
Saya ingin menyimpan informasi ini secara terpisah, sehingga saya dapat mengekstrak apa yang saya inginkan dengan mudah dan cepat.
Jawaban:
Lihatlah halaman manual untuk iptables. Ini menunjukkan target yang disebut LOGyang dapat melakukan apa yang Anda inginkan.
Atur level logging LOGke 4.
# DROP everything and Log it
iptables -A INPUT -j LOG --log-level 4
iptables -A INPUT -j DROP
Konfigurasikan syslog.confuntuk menulis pesan-pesan ini ke file terpisah.
# /etc/syslog.conf
kern.warning /var/log/iptables.log
Mulai ulang syslogd.
Debian / Ubuntu
$ sudo /etc/init.d/sysklogd restart
Fedora / CentOS / RHEL
$ sudo /etc/init.d/syslog restart
CATATAN: Metode logging ini disebut prioritas tetap. Mereka adalah angka atau nama (1,2,3,4, ..) atau (DEBUG, PERINGATAN, INFO, dll.).
Jika kebetulan Anda menggunakan rsyslog, Anda dapat membuat filter berbasis properti seperti:
# /etc/rsyslog.conf
:msg, contains, "NETFILTER" /var/log/iptables.log
:msg, contains, "NETFILTER" ~
Kemudian tambahkan switch untuk beralih ke aturan iptables yang ingin Anda log:
–log-prefix NETFILTER
Sebagai alternatif, Anda juga bisa mencatat pesan menggunakan jenis filter properti ini:
:msg, startswith, "iptables: " -/var/log/iptables.log
& ~
:msg, regex, "^\[ *[0-9]*\.[0-9]*\] iptables: " -/var/log/iptables.log
& ~
CATATAN: Metode ke-2 ini tidak memerlukan perubahan apa pun iptables.
/var/log/iptablesdan juga di /var/log/messages. Saya hanya ingin satu salinan dari data ini diiptables.log
Ini mengasumsikan firewall Anda sudah membuat log, seperti firewall waras yang seharusnya. Untuk beberapa contoh, ini membutuhkan pesan yang dapat diidentifikasi, seperti "NETFILTER" dalam contoh slm.
buat file di rsyslog.d
vim /etc/rsyslog.d/10-firewall.conf
Ini berfungsi di CentOS 7. Saya tidak tahu cara memverifikasi bahwa itu berasal dari firewall selain mencari IN dan OUT ... CentOS aneh. Jangan gunakan ini kecuali versi berikutnya tidak berfungsi.
# into separate file and stop their further processing
if ($msg contains 'IN=' and $msg contains 'OUT=') \
then {
-/var/log/firewall
& ~
}
Ini berfungsi di CentOS 7 dan memeriksa konten pesan juga (ganti "Shorewall" dengan apa pun yang Anda miliki di pesan aturan -j LOG):
# into separate file and stop their further processing
if ($msg contains 'Shorewall') and \
($msg contains 'IN=' and $msg contains 'OUT=') \
then {
-/var/log/firewall
& ~
}
Ini berfungsi di orang lain (Ubuntu, Debian, openSUSE). Dan ini adalah cara terbaik untuk melakukannya. Tidak mencari string dalam pesan:
# into separate file and stop their further processing
if ($syslogfacility-text == 'kern') and \\
($msg contains 'IN=' and $msg contains 'OUT=') \\
then -/var/log/firewall
& ~
Dan inilah yang dimiliki oleh mesin openSUSE default (yang saya pikir setiap distro seharusnya ada dan tidak ada) (perbedaannya sepertinya hanya "berhenti" daripada "& ~"; tidak semua sistem mendukung kedua sintaksis):
if ($syslogfacility-text == 'kern') and \
($msg contains 'IN=' and $msg contains 'OUT=') \
then {
-/var/log/firewall
stop
}
Dan untuk semua hal di atas, jangan lupa file logrotate.d juga:
vim /etc/logrotate.d/firewall
mengandung:
/var/log/firewall {
rotate 7
size 500k
postrotate
# before using this, run the command yourself to make sure
# it is right... the daemon name may vary
/usr/bin/killall -HUP rsyslogd
endscript
}