From: "Norman Rieß" <norman@smash-net.org>
To: gentoo-user-de@lists.gentoo.org
Subject: Re: [gentoo-user-de] Re: Metalog Logverzeichnis erstellen
Date: Sun, 24 Feb 2008 12:18:34 +0100 [thread overview]
Message-ID: <47C1528A.1010103@smash-net.org> (raw)
In-Reply-To: <47C14C15.90304@voelkle.eu>
Boris Voelkle schrieb:
> Eigentlich will ich den kompletten Log von iptables verschieben, um das
> dann mit einigen Filtern auf Unterordner zu verteilen.
>
> [kernel] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxx SRC=xxx.xxxx.xxx.xxxx
> DST=192.168.xxx.xxx LEN=52 TOS=0x10 PREC=0x00 TTL=58 ID=2782 DF
> PROTO=TCP SPT=11175 DPT=xxx WINDOW=120 RES=0x00 ACK URGP=0
> Feb 24 12:25:18 [kernel] IN=eth0 OUT= MAC=xxx SRC=xxx DST=xxx LEN=100
> TOS=0x10 PREC=0x00 TTL=58 ID=2783 DF PROTO=TCP SPT=11175
> DPT=xxxWINDOW=120 RES=0x00 ACK PSH URGP=0
>
>
> Momentan läuft ja alles darein.
>
> Generell interessiert mich die Frage: Wie funktioniert nun die
> Gliederung unter Metalog.
> Nach man(uall) sollte es ja mit den im Eröffnungsthread genanten
> einträgen möglichsein, nach bestimmten Befehlen/ Programmen ein
> Log-Verzeichnis anzulegen, bzw. den Output in ein entsprechendes
> Verzeichnis zu leiten.
>
> Oder liegt mir da ein Stein im Weg ?
>
> BB
>
> Boris
>
>
> Iptables:
> program_regex = "^iptables"
> (bzw.: program = "iptables" )
> logdir = "/var/log/iptables"
> break = 1
>
Dein prgram-regex kickt hier leider nicht ein, da in den Logzeilen kein
"iptables" drinsteht. Du musst als regex irgendetwas finden, was immer
charakteristisch in dieser Zeile drinsteht.
Dazu kannst du auch erstmal festlegen, in welcher Facility der Log
liegt, Hier ist das "kernel". Also kannst du in deinem Metalogeintrag
facility = "kern" hinzufügen.
Ist zwar erstmal unsauber, aber du kannst versuchen als regex das
"IN=eth" zu nehmen, was ja warscheinlich in jedem iptables-Eintrag
vorhanden sein wird.
Jetzt logt das aber immernoch in die everything und kernel logs rein.
Also musst du überall im metalog, wo du das nicht drin haben willst ein
neg_regex = "IN=eth" reinschreiben.
Als Beispiel kopier ich hier mal meine Shorewall-Metalogeinstellungen rein.
Firewall:
facility = "kern"
minimum = 6
regex = "Shorewall"
logdir = "/var/log/firewall"
Everything important :
facility = "*"
minimum = 6
logdir = "/var/log/everything"
neg_regex = "Shorewall"
Kernel messages :
facility = "kern"
logdir = "/var/log/kernel"
neg_regex = "Shorewall"
Dasgilt für Zeilen:
Feb 24 11:10:22 [kernel] Shorewall:net2fw:DROP:IN=ppp0 OUT= MAC= SRC=xxx
DST=xxx LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=3907 DF PROTO=TCP SPT=xxx
DPT=xxx WINDOW=5840 RES=0x00 SYN URGP=0
Grüße
Norman
--
gentoo-user-de@lists.gentoo.org mailing list
next prev parent reply other threads:[~2008-02-24 11:18 UTC|newest]
Thread overview: 10+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-02-22 14:24 [gentoo-user-de] Metalog Logverzeichnis erstellen Boris Voelkle
2008-02-22 21:31 ` [gentoo-user-de] " Anno v. Heimburg
2008-02-24 10:51 ` Boris Voelkle
2008-02-24 11:18 ` Norman Rieß [this message]
2008-02-24 11:59 ` Boris Voelkle
2008-02-24 13:14 ` [gentoo-user-de] " Anno v. Heimburg
2008-02-24 13:50 ` Boris Voelkle
2008-02-24 20:49 ` [gentoo-user-de] " Anno v. Heimburg
2008-02-25 7:20 ` Boris Voelkle
2008-02-25 19:40 ` [gentoo-user-de] " Anno v. Heimburg
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=47C1528A.1010103@smash-net.org \
--to=norman@smash-net.org \
--cc=gentoo-user-de@lists.gentoo.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
Be sure your reply has a Subject: header at the top and a blank line
before the message body.
This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox