l'utilisation des limites est très utile dans IPtables pour éviter de
remplir ses logs avec des infos extrêmement récurrentes (comme les SYN
vers le port 135 par exemple :)
Mais mon problème est que je ne vois pas comment faire une sorte
d'accumulateur (à la Syslog) me permettant d'obtenir une ligne de logs
pour X paquets, le nombre X étant affiché dans la ligne de logs.
Par exemple, Syslog génère des lignes commme "last message repeated Y
times". Si on veut faire des statistiques, il est évident que
l'utilisation de "-m limit" engendre une perte d'infos.
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si
quelqu'un a des idées ...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Simon Marechal
In article , Nicob wrote:
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si quelqu'un a des idées ...
C'est peut etre un peu idiot comme conseil, mais je pense qu'il vaut mieux ne pas s'ennuyer avec des bricolages pour rendre les logs plus lisibles. Il suffit d'utiliser un bon analyseur. Comme ça on lit vite ce qu'on doit lire, mais on a tous les détails stockés dans un coin au cas ou.
In article <pan.2003.08.18.17.12.52.921408@nicob.net>, Nicob wrote:
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si
quelqu'un a des idées ...
C'est peut etre un peu idiot comme conseil, mais je pense qu'il vaut
mieux ne pas s'ennuyer avec des bricolages pour rendre les logs plus
lisibles. Il suffit d'utiliser un bon analyseur. Comme ça on lit vite ce
qu'on doit lire, mais on a tous les détails stockés dans un coin au cas
ou.
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si quelqu'un a des idées ...
C'est peut etre un peu idiot comme conseil, mais je pense qu'il vaut mieux ne pas s'ennuyer avec des bricolages pour rendre les logs plus lisibles. Il suffit d'utiliser un bon analyseur. Comme ça on lit vite ce qu'on doit lire, mais on a tous les détails stockés dans un coin au cas ou.
T0t0
"Nicob" wrote in message news:
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si quelqu'un a des idées ...
Peut être qu'un script avec analyse d'expressions régulières de ton fichier de logs pourrait faire l'affaire. Ca ne serait plus au niveau d'iptables que tu bosses, mais au niveau du fichier de logs.
L'avantage est que ca s'adapterait par la suite à tout type de fichier de log sans avoir à patcher iptables :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Nicob" <usenet@nicob.net> wrote in message
news:pan.2003.08.18.17.12.52.921408@nicob.net
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si
quelqu'un a des idées ...
Peut être qu'un script avec analyse d'expressions régulières de ton
fichier de logs pourrait faire l'affaire. Ca ne serait plus au niveau
d'iptables que tu bosses, mais au niveau du fichier de logs.
L'avantage est que ca s'adapterait par la suite à tout type de fichier
de log sans avoir à patcher iptables :-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si quelqu'un a des idées ...
Peut être qu'un script avec analyse d'expressions régulières de ton fichier de logs pourrait faire l'affaire. Ca ne serait plus au niveau d'iptables que tu bosses, mais au niveau du fichier de logs.
L'avantage est que ca s'adapterait par la suite à tout type de fichier de log sans avoir à patcher iptables :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Nicob
On Tue, 19 Aug 2003 11:09:58 +0000, T0t0 wrote:
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si quelqu'un a des idées ...
Peut être qu'un script avec analyse d'expressions régulières de ton fichier de logs pourrait faire l'affaire. Ca ne serait plus au niveau d'iptables que tu bosses, mais au niveau du fichier de logs.
Ca, je le fais déjà :)
Mais je veux non seulement réduire la quantité de logs à traiter (actuellement par un programme externe qui fait ce type de "compression"), mais aussi limiter l'espace disque occupé par mes logs, comme dans le cas de worms ou de SYN-flood.
L'avantage est que ça s'adapterait par la suite à tout type de fichier de log sans avoir à patcher iptables :-)
Avec en plus libprelude pour le formatage de logs hétérogènes vers IDMEF, c'est le panard !
Nicob
On Tue, 19 Aug 2003 11:09:58 +0000, T0t0 wrote:
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si
quelqu'un a des idées ...
Peut être qu'un script avec analyse d'expressions régulières de ton
fichier de logs pourrait faire l'affaire. Ca ne serait plus au niveau
d'iptables que tu bosses, mais au niveau du fichier de logs.
Ca, je le fais déjà :)
Mais je veux non seulement réduire la quantité de logs à traiter
(actuellement par un programme externe qui fait ce type de "compression"),
mais aussi limiter l'espace disque occupé par mes logs, comme dans le cas
de worms ou de SYN-flood.
L'avantage est que ça s'adapterait par la suite à tout type de fichier
de log sans avoir à patcher iptables :-)
Avec en plus libprelude pour le formatage de logs hétérogènes vers
IDMEF, c'est le panard !
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si quelqu'un a des idées ...
Peut être qu'un script avec analyse d'expressions régulières de ton fichier de logs pourrait faire l'affaire. Ca ne serait plus au niveau d'iptables que tu bosses, mais au niveau du fichier de logs.
Ca, je le fais déjà :)
Mais je veux non seulement réduire la quantité de logs à traiter (actuellement par un programme externe qui fait ce type de "compression"), mais aussi limiter l'espace disque occupé par mes logs, comme dans le cas de worms ou de SYN-flood.
L'avantage est que ça s'adapterait par la suite à tout type de fichier de log sans avoir à patcher iptables :-)
Avec en plus libprelude pour le formatage de logs hétérogènes vers IDMEF, c'est le panard !
Nicob
ronald
On Mon, 18 Aug 2003 18:29:27 +0000, Nicob wrote:
Salut,
l'utilisation des limites est très utile dans IPtables pour éviter de remplir ses logs avec des infos extrêmement récurrentes (comme les SYN vers le port 135 par exemple :)
Mais mon problème est que je ne vois pas comment faire une sorte d'accumulateur (à la Syslog) me permettant d'obtenir une ligne de logs pour X paquets, le nombre X étant affiché dans la ligne de logs.
Par exemple, Syslog génère des lignes commme "last message repeated Y times". Si on veut faire des statistiques, il est évident que l'utilisation de "-m limit" engendre une perte d'infos.
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si quelqu'un a des idées ...
Nicob Tu peux utiliser quelque chose comme iplog, mais tu auras moins de detail
sur les paquets.
On Mon, 18 Aug 2003 18:29:27 +0000, Nicob wrote:
Salut,
l'utilisation des limites est très utile dans IPtables pour éviter de
remplir ses logs avec des infos extrêmement récurrentes (comme les SYN
vers le port 135 par exemple :)
Mais mon problème est que je ne vois pas comment faire une sorte
d'accumulateur (à la Syslog) me permettant d'obtenir une ligne de logs
pour X paquets, le nombre X étant affiché dans la ligne de logs.
Par exemple, Syslog génère des lignes commme "last message repeated Y
times". Si on veut faire des statistiques, il est évident que
l'utilisation de "-m limit" engendre une perte d'infos.
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si
quelqu'un a des idées ...
Nicob
Tu peux utiliser quelque chose comme iplog, mais tu auras moins de detail
l'utilisation des limites est très utile dans IPtables pour éviter de remplir ses logs avec des infos extrêmement récurrentes (comme les SYN vers le port 135 par exemple :)
Mais mon problème est que je ne vois pas comment faire une sorte d'accumulateur (à la Syslog) me permettant d'obtenir une ligne de logs pour X paquets, le nombre X étant affiché dans la ligne de logs.
Par exemple, Syslog génère des lignes commme "last message repeated Y times". Si on veut faire des statistiques, il est évident que l'utilisation de "-m limit" engendre une perte d'infos.
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si quelqu'un a des idées ...
Nicob Tu peux utiliser quelque chose comme iplog, mais tu auras moins de detail
sur les paquets.
Jonathan ILIAS
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si quelqu'un a des idées ...
Une idée comme ça (m'enfin je n'ai jamais essayé), n'est-il pas possible de rediriger le log sur syslog justement ?
-- Jonathan ILIAS
Vu que j'ai pas envie d'aller dans le code pour patcher IPtables, si
quelqu'un a des idées ...
Une idée comme ça (m'enfin je n'ai jamais essayé), n'est-il pas possible
de rediriger le log sur syslog justement ?
