| 1 |
Boris Voelkle schrieb: |
| 2 |
|
| 3 |
> Eigentlich will ich den kompletten Log von iptables verschieben, um das |
| 4 |
> dann mit einigen Filtern auf Unterordner zu verteilen. |
| 5 |
> |
| 6 |
> [kernel] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxx SRC=xxx.xxxx.xxx.xxxx |
| 7 |
> DST=192.168.xxx.xxx LEN=52 TOS=0x10 PREC=0x00 TTL=58 ID=2782 DF |
| 8 |
> PROTO=TCP SPT=11175 DPT=xxx WINDOW=120 RES=0x00 ACK URGP=0 |
| 9 |
> Feb 24 12:25:18 [kernel] IN=eth0 OUT= MAC=xxx SRC=xxx DST=xxx LEN=100 |
| 10 |
> TOS=0x10 PREC=0x00 TTL=58 ID=2783 DF PROTO=TCP SPT=11175 |
| 11 |
> DPT=xxxWINDOW=120 RES=0x00 ACK PSH URGP=0 |
| 12 |
> |
| 13 |
> |
| 14 |
> Momentan läuft ja alles darein. |
| 15 |
> |
| 16 |
> Generell interessiert mich die Frage: Wie funktioniert nun die |
| 17 |
> Gliederung unter Metalog. |
| 18 |
> Nach man(uall) sollte es ja mit den im Eröffnungsthread genanten |
| 19 |
> einträgen möglichsein, nach bestimmten Befehlen/ Programmen ein |
| 20 |
> Log-Verzeichnis anzulegen, bzw. den Output in ein entsprechendes |
| 21 |
> Verzeichnis zu leiten. |
| 22 |
> |
| 23 |
> Oder liegt mir da ein Stein im Weg ? |
| 24 |
> |
| 25 |
> BB |
| 26 |
> |
| 27 |
> Boris |
| 28 |
> |
| 29 |
> |
| 30 |
> Iptables: |
| 31 |
> program_regex = "^iptables" |
| 32 |
> (bzw.: program = "iptables" ) |
| 33 |
> logdir = "/var/log/iptables" |
| 34 |
> break = 1 |
| 35 |
> |
| 36 |
Dein prgram-regex kickt hier leider nicht ein, da in den Logzeilen kein |
| 37 |
"iptables" drinsteht. Du musst als regex irgendetwas finden, was immer |
| 38 |
charakteristisch in dieser Zeile drinsteht. |
| 39 |
Dazu kannst du auch erstmal festlegen, in welcher Facility der Log |
| 40 |
liegt, Hier ist das "kernel". Also kannst du in deinem Metalogeintrag |
| 41 |
facility = "kern" hinzufügen. |
| 42 |
Ist zwar erstmal unsauber, aber du kannst versuchen als regex das |
| 43 |
"IN=eth" zu nehmen, was ja warscheinlich in jedem iptables-Eintrag |
| 44 |
vorhanden sein wird. |
| 45 |
|
| 46 |
Jetzt logt das aber immernoch in die everything und kernel logs rein. |
| 47 |
Also musst du überall im metalog, wo du das nicht drin haben willst ein |
| 48 |
neg_regex = "IN=eth" reinschreiben. |
| 49 |
|
| 50 |
Als Beispiel kopier ich hier mal meine Shorewall-Metalogeinstellungen rein. |
| 51 |
|
| 52 |
Firewall: |
| 53 |
|
| 54 |
facility = "kern" |
| 55 |
minimum = 6 |
| 56 |
regex = "Shorewall" |
| 57 |
logdir = "/var/log/firewall" |
| 58 |
|
| 59 |
Everything important : |
| 60 |
|
| 61 |
facility = "*" |
| 62 |
minimum = 6 |
| 63 |
logdir = "/var/log/everything" |
| 64 |
neg_regex = "Shorewall" |
| 65 |
|
| 66 |
Kernel messages : |
| 67 |
|
| 68 |
facility = "kern" |
| 69 |
logdir = "/var/log/kernel" |
| 70 |
neg_regex = "Shorewall" |
| 71 |
|
| 72 |
|
| 73 |
Dasgilt für Zeilen: |
| 74 |
Feb 24 11:10:22 [kernel] Shorewall:net2fw:DROP:IN=ppp0 OUT= MAC= SRC=xxx |
| 75 |
DST=xxx LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=3907 DF PROTO=TCP SPT=xxx |
| 76 |
DPT=xxx WINDOW=5840 RES=0x00 SYN URGP=0 |
| 77 |
|
| 78 |
Grüße |
| 79 |
Norman |
| 80 |
-- |
| 81 |
gentoo-user-de@l.g.o mailing list |
Archives