Différencier les logs iptables

Le
Karmelitre
Bonjour à tous,

Sur un serveur debian/etch, j'ai activé les logs d'iptables. Ces logs
sont verbeux mais pratiques en cas de problème. Mon soucis est qu'a
mon gout ils polluent les logs système, la configuration par défaut de
syslog les renvoie dans trois fichiers :

*.*;auth,authpriv.none -/var/log/syslog

kern.* -/var/log/kern.log

*.=info;*.=notice;*.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none -/var/log/messages

J'aimerai si possible différencier les logs d'iptables, mais le seul
moyen que j'ai trouvé serait de filtrer sur le contenu des messages
car je ne vois pas d'autre sélecteur, vu que les messages sont envoyés
avec la 'facility' du noyau 'kern'.

Cela pourrait se faire avec un script bash lancé très régulièrement
par cron est qui séparerait les logs iptables des autres.

Une autre idée ?

--
Thomas
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
François Patte
Le #1889481
Bonjour à tous,

Sur un serveur debian/etch, j'ai activé les logs d'iptables. Ces logs
sont verbeux mais pratiques en cas de problème. Mon soucis est qu'a
mon gout ils polluent les logs système, la configuration par défaut de
syslog les renvoie dans trois fichiers :

*.*;auth,authpriv.none -/var/log/syslog

kern.* -/var/log/kern.log

*.=info;*.=notice;*.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none -/var/log/messages

J'aimerai si possible différencier les logs d'iptables, mais le seul
moyen que j'ai trouvé serait de filtrer sur le contenu des messages
car je ne vois pas d'autre sélecteur, vu que les messages sont envoyés
avec la 'facility' du noyau 'kern'.

Cela pourrait se faire avec un script bash lancé très régulièrement
par cron est qui séparerait les logs iptables des autres.

Une autre idée ?


Il y a un "syslog" qui permet de faire ça, mais j'en ai oublié le nom...!

Personnellement, quand j'interroge les log pour quelque chose qui ne
concerne pas iptables, je fais un:

cat /var/log/messages | grep -vi iptables

--
François Patte
Université Paris 5 - Paris

Philippe WEILL
Le #1889477
François Patte wrote:
Bonjour à tous,

Sur un serveur debian/etch, j'ai activé les logs d'iptables. Ces logs
sont verbeux mais pratiques en cas de problème. Mon soucis est qu'a
mon gout ils polluent les logs système, la configuration par défaut de
syslog les renvoie dans trois fichiers :

*.*;auth,authpriv.none -/var/log/syslog

kern.* -/var/log/kern.log

*.=info;*.=notice;*.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none -/var/log/messages

J'aimerai si possible différencier les logs d'iptables, mais le seul
moyen que j'ai trouvé serait de filtrer sur le contenu des messages
car je ne vois pas d'autre sélecteur, vu que les messages sont envoyés
avec la 'facility' du noyau 'kern'.

Cela pourrait se faire avec un script bash lancé très régulièrement
par cron est qui séparerait les logs iptables des autres.

Une autre idée ?


remplacer syslog par syslog-ng surement disponible pour etch


il permet de faire du filtrage sur des expressions rationnelles et plein
d'autre choses ( que des avantages )




Karmelitre
Le #1884943
On 3 mai, 10:49, Philippe WEILL wrote:

remplacer syslog par syslog-ng surement disponible pour etch


En effet : http://packages.debian.org/stable/admin/syslog-ng
Merci, je vais regarder de ce coté.

--
Thomas Recloux

Julien Salgado
Le #1884941
Karmelitre a écrit :
On 3 mai, 10:49, Philippe WEILL wrote:

remplacer syslog par syslog-ng surement disponible pour etch


En effet : http://packages.debian.org/stable/admin/syslog-ng
Merci, je vais regarder de ce coté.


Une autre solution est de ne pas envoyer les log à syslog... mais à un
daemon extern en utlisant la cible ULOG qui permet de même de mettre les
information dans une base, Il existe dexu daemon possibles :
- ulogd
- specter (http://joker.linuxstuff.pl/specter) que je n'ai pas testé, si
quelqu'un l'a fait je suis preneur de retour.


--
Julien


Karmelitre
Le #1884940
On 3 mai, 21:01, Julien Salgado
Une autre solution est de ne pas envoyer les log à syslog... mais à un
daemon extern en utlisant la cible ULOG qui permet de même de mettre les
information dans une base, Il existe dexu daemon possibles :
- ulogd
- specter (http://joker.linuxstuff.pl/specter) que je n'ai pas testé, si
quelqu'un l'a fait je suis preneur de retour.


Impeccable, c'est installé / configuré !

Merci.

Philippe Naudin
Le #1884939
Le jeudi 03 mai 2007 à 19:01:53,
Julien Salgado
Une autre solution est de ne pas envoyer les log à syslog... mais à un
daemon extern en utlisant la cible ULOG qui permet de même de mettre
les information dans une base, Il existe dexu daemon possibles :
- ulogd
- specter (http://joker.linuxstuff.pl/specter) que je n'ai pas testé,
si quelqu'un l'a fait je suis preneur de retour.


Désolé, pas testé.

Par contre on peut également utiliser LOG avec l'option --log-level,
comme dans :
-j LOG --log-prefix 'du baratin' --log-level $LogLevel
avec LogLevel choisi parmi les facilités de syslog (man syslog.conf).

En combinant ça avec le paramétrage dans le fichier /etc/syslog.conf, on
a quand même une bonne latitude de configuration.

Par exemple, envoyer les logs de iptables sur la console 12 :
- dans /etc/syslog.conf :
kern.Þbug /dev/tty12

- dans les règles d'iptables
iptables -A $UNE_TABLE
-m limit --limit 5/second
-o ! lo
-j LOG --log-prefix 'du baratin ' --log-level debug

Cordialement,


--
Philippe Naudin
Cette adresse rejette le html, et les pièces attachées
avec une extension (exe|bat|pif|com|scr|zip).

Publicité
Poster une réponse
Anonyme