[gentoo-user-de] Metalog Logverzeichnis erstellen

[gentoo-user-de] Metalog Logverzeichnis erstellen

[Boris Voelkle]

hallo @all,

ich versuch grad ein eigenes Verzeichnis für iptables anzulegen.
Verwendet wird Metalog und Standart logt alles in /var/log/everything/*
Nun möchte ich aber den output von Iptables in einem eigenen Verzeichnis.

Dazu hab ich folgenden Eintrag in metalog.conf eingetragen:


Iptables:
  program_regex = "^iptables"
 (bzw.: program = "iptables" )
  logdir  = "/var/log/iptables"
  break  = 1


und das Dir /var/log/iptables angelegt.

man metalog.conf(5) und man metalog(8)  hab ich zwar durch, aber irgend
wie klappt nicht was ich gerne hätte

BB

Boris

-- 

---------------------------------------------------------------------
---- boris@voelkle.eu -------- www.voelkle.eu -----------------------
---------------------------------------------------------------------
---- Schlüssel-ID:0x89B2EE62 --- pool.sks-keyservers.net ------------
---------------------------------------------------------------------
---- Fingerprint:BFA5 831F A40E A632 80B2 8D69 9E75 349B 89B2 EE62 --
---------------------------------------------------------------------

-- 
gentoo-user-de@lists.gentoo.org mailing list

[gentoo-user-de] Re: Metalog Logverzeichnis erstellen

[Anno v. Heimburg]

Boris Voelkle wrote:

> Verwendet wird Metalog und Standart logt alles in /var/log/everything/*
> Nun möchte ich aber den output von Iptables in einem eigenen Verzeichnis.
>
> man metalog.conf(5) und man metalog(8)  hab ich zwar durch, aber irgend
> wie klappt nicht was ich gerne hätte

Kannst Du mal eine Beispielzeile posten, die im Moment
nach /var/log/everything geloggt wird und nach /var/log/iptables soll?

-- 
gentoo-user-de@lists.gentoo.org mailing list

Re: [gentoo-user-de] Re: Metalog Logverzeichnis erstellen

[Boris Voelkle]

Anno v. Heimburg schrieb:
> Boris Voelkle wrote:
>
>   
>> Verwendet wird Metalog und Standart logt alles in /var/log/everything/*
>> Nun möchte ich aber den output von Iptables in einem eigenen Verzeichnis.
>>
>> man metalog.conf(5) und man metalog(8)  hab ich zwar durch, aber irgend
>> wie klappt nicht was ich gerne hätte
>>     
>
> Kannst Du mal eine Beispielzeile posten, die im Moment
> nach /var/log/everything geloggt wird und nach /var/log/iptables soll?
>
>   
Eigentlich will ich den kompletten Log von iptables verschieben, um das
dann mit einigen Filtern auf Unterordner zu verteilen.

[kernel] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxx SRC=xxx.xxxx.xxx.xxxx
DST=192.168.xxx.xxx LEN=52 TOS=0x10 PREC=0x00 TTL=58 ID=2782 DF
PROTO=TCP SPT=11175 DPT=xxx WINDOW=120 RES=0x00 ACK URGP=0
Feb 24 12:25:18 [kernel] IN=eth0 OUT= MAC=xxx SRC=xxx DST=xxx LEN=100
TOS=0x10 PREC=0x00 TTL=58 ID=2783 DF PROTO=TCP SPT=11175
DPT=xxxWINDOW=120 RES=0x00 ACK PSH URGP=0


Momentan läuft ja alles darein.

Generell interessiert mich die Frage: Wie funktioniert nun die
Gliederung unter Metalog.
Nach man(uall) sollte es ja mit den im Eröffnungsthread genanten
einträgen möglichsein, nach bestimmten Befehlen/ Programmen ein
Log-Verzeichnis anzulegen, bzw. den Output in ein entsprechendes
Verzeichnis zu leiten.

Oder liegt mir da ein Stein im Weg ?

BB

Boris



-- 

---------------------------------------------------------------------
---- boris@voelkle.eu -------- www.voelkle.eu -----------------------
---------------------------------------------------------------------
---- Schlüssel-ID:0x89B2EE62 --- pool.sks-keyservers.net ------------
---------------------------------------------------------------------
---- Fingerprint:BFA5 831F A40E A632 80B2 8D69 9E75 349B 89B2 EE62 --
---------------------------------------------------------------------

-- 
gentoo-user-de@lists.gentoo.org mailing list

Re: [gentoo-user-de] Re: Metalog Logverzeichnis erstellen

[Norman Rieß]

Boris Voelkle schrieb:

> Eigentlich will ich den kompletten Log von iptables verschieben, um das
> dann mit einigen Filtern auf Unterordner zu verteilen.
>
> [kernel] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxx SRC=xxx.xxxx.xxx.xxxx
> DST=192.168.xxx.xxx LEN=52 TOS=0x10 PREC=0x00 TTL=58 ID=2782 DF
> PROTO=TCP SPT=11175 DPT=xxx WINDOW=120 RES=0x00 ACK URGP=0
> Feb 24 12:25:18 [kernel] IN=eth0 OUT= MAC=xxx SRC=xxx DST=xxx LEN=100
> TOS=0x10 PREC=0x00 TTL=58 ID=2783 DF PROTO=TCP SPT=11175
> DPT=xxxWINDOW=120 RES=0x00 ACK PSH URGP=0
>
>
> Momentan läuft ja alles darein.
>
> Generell interessiert mich die Frage: Wie funktioniert nun die
> Gliederung unter Metalog.
> Nach man(uall) sollte es ja mit den im Eröffnungsthread genanten
> einträgen möglichsein, nach bestimmten Befehlen/ Programmen ein
> Log-Verzeichnis anzulegen, bzw. den Output in ein entsprechendes
> Verzeichnis zu leiten.
>
> Oder liegt mir da ein Stein im Weg ?
>
> BB
>
> Boris
>
>
> Iptables:
>   program_regex = "^iptables"
>  (bzw.: program = "iptables" )
>   logdir  = "/var/log/iptables"
>   break  = 1
>   
Dein prgram-regex kickt hier leider nicht ein, da in den Logzeilen kein
"iptables" drinsteht. Du musst als regex irgendetwas finden, was immer
charakteristisch in dieser Zeile drinsteht.
Dazu kannst du auch erstmal festlegen, in welcher Facility der Log
liegt, Hier ist das "kernel". Also kannst du in deinem Metalogeintrag
facility = "kern" hinzufügen.
Ist zwar erstmal unsauber, aber du kannst versuchen als regex das
"IN=eth" zu nehmen, was ja warscheinlich in jedem iptables-Eintrag
vorhanden sein wird.

Jetzt logt das aber immernoch in die everything und kernel logs rein.
Also musst du überall im metalog, wo du das nicht drin haben willst ein
neg_regex = "IN=eth" reinschreiben.

Als Beispiel kopier ich hier mal meine Shorewall-Metalogeinstellungen rein.

Firewall:

  facility = "kern"
  minimum = 6
  regex = "Shorewall"
  logdir = "/var/log/firewall"

Everything important :

  facility = "*"
  minimum  = 6
  logdir   = "/var/log/everything"
  neg_regex = "Shorewall"

Kernel messages :

  facility = "kern"
  logdir   = "/var/log/kernel"
  neg_regex = "Shorewall"


Dasgilt für Zeilen:
Feb 24 11:10:22 [kernel] Shorewall:net2fw:DROP:IN=ppp0 OUT= MAC= SRC=xxx
DST=xxx LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=3907 DF PROTO=TCP SPT=xxx
DPT=xxx WINDOW=5840 RES=0x00 SYN URGP=0

Grüße
Norman
-- 
gentoo-user-de@lists.gentoo.org mailing list

Re: [gentoo-user-de] Re: Metalog Logverzeichnis erstellen

[Boris Voelkle]

Norman Rieß schrieb:

Hallo Norman,

vielen Dank, das war es.
Mein Denkfehler war wohl, dass ich davin ausging, dass der metalogd die
einzelnen Programme differenziert...
Aber eigentlich loggt der einfach alles und verteilt dan über Filter...

Gruss

Boris
> Firewall:
>
>   facility = "kern"
>   minimum = 6
>   regex = "Shorewall"
>   logdir = "/var/log/firewall"
>
> Everything important :
>
>   facility = "*"
>   minimum  = 6
>   logdir   = "/var/log/everything"
>   neg_regex = "Shorewall"
>
> Kernel messages :
>
>   facility = "kern"
>   logdir   = "/var/log/kernel"
>   neg_regex = "Shorewall"
>
>
> Dasgilt für Zeilen:
> Feb 24 11:10:22 [kernel] Shorewall:net2fw:DROP:IN=ppp0 OUT= MAC= SRC=xxx
> DST=xxx LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=3907 DF PROTO=TCP SPT=xxx
> DPT=xxx WINDOW=5840 RES=0x00 SYN URGP=0
>
> Grüße
> Norman
>   


-- 

---------------------------------------------------------------------
---- boris@voelkle.eu -------- www.voelkle.eu -----------------------
---------------------------------------------------------------------
---- Schlüssel-ID:0x89B2EE62 --- pool.sks-keyservers.net ------------
---------------------------------------------------------------------
---- Fingerprint:BFA5 831F A40E A632 80B2 8D69 9E75 349B 89B2 EE62 --
---------------------------------------------------------------------

-- 
gentoo-user-de@lists.gentoo.org mailing list

[gentoo-user-de] Re: Re: Metalog Logverzeichnis erstellen

[Anno v. Heimburg]

Boris Voelkle wrote:

> Mein Denkfehler war wohl, dass ich davin ausging, dass der metalogd die
> einzelnen Programme differenziert...

Metalog differenziert schon die einzelnen Programme. Dein Denkfehler, mit
Verlaub, war, dass das iptables-Programm nicht das Netzwerkfiltern/Routing
übernimmt, das macht das iptables-Subsystem des Kernels. Also sieht Metalog
die Meldung als "vom Kernel", nicht "von iptables". Das iptables-Programm
dient lediglich dazu, die iptables im Kernel zu konfigurieren.

Die einzigen Dinge, die also prinzipiell vom iptables-Programm geloggt
werden könnten, sind "Regel hinzufgefügt", "Regel geändert" und "Regel
gelöscht".

Anno.

-- 
gentoo-user-de@lists.gentoo.org mailing list

Re: [gentoo-user-de] Re: Re: Metalog Logverzeichnis erstellen

[Boris Voelkle]

Anno v. Heimburg schrieb:
> Boris Voelkle wrote:
>
>   
>> Mein Denkfehler war wohl, dass ich davin ausging, dass der metalogd die
>> einzelnen Programme differenziert...
>>     
>
> Metalog differenziert schon die einzelnen Programme. Dein Denkfehler, mit
> Verlaub, war, dass das iptables-Programm nicht das Netzwerkfiltern/Routing
> übernimmt, das macht das iptables-Subsystem des Kernels. Also sieht Metalog
> die Meldung als "vom Kernel", nicht "von iptables". Das iptables-Programm
> dient lediglich dazu, die iptables im Kernel zu konfigurieren.
>   
Danke, bin kritikfähig...;-)
Aber langsam verstehe ich die ganzen Zusammenhänge.
Demnach brauch ich nicht extra mit einem zusätzlichen Script die
Einträge noch mals zu differenziren, sondern kann das im metalog.conf
editieren ?
Bzw. kann ich dort auch einen seperate config-datei importiren ( quasie
wie die vhost.conf beim apache) ?


> Die einzigen Dinge, die also prinzipiell vom iptables-Programm geloggt
> werden könnten, sind "Regel hinzufgefügt", "Regel geändert" und "Regel
> gelöscht".
>
> Anno.
>
>   
Gruss

Boris

-- 

---------------------------------------------------------------------
---- boris@voelkle.eu -------- www.voelkle.eu -----------------------
---------------------------------------------------------------------
---- Schlüssel-ID:0x89B2EE62 --- pool.sks-keyservers.net ------------
---------------------------------------------------------------------
---- Fingerprint:BFA5 831F A40E A632 80B2 8D69 9E75 349B 89B2 EE62 --
---------------------------------------------------------------------

-- 
gentoo-user-de@lists.gentoo.org mailing list

[gentoo-user-de] Re: Re: Re: Metalog Logverzeichnis erstellen

[Anno v. Heimburg]

Boris Voelkle wrote:
> Danke, bin kritikfähig...;-)
> Aber langsam verstehe ich die ganzen Zusammenhänge.
> Demnach brauch ich nicht extra mit einem zusätzlichen Script die
> Einträge noch mals zu differenziren, sondern kann das im metalog.conf
> editieren ?

Ja, Metalog bekommt ja auch die Lognachrichten vom Kernel (bis auf die
Nachrichten bei Systemstart, wenn Metalog noch nicht läuft). So ganz
komplett verstehe ich die Frage aber ehrlich gesagt nicht. Welche
Informationen, die Metalog nicht zur Verfügung stehen, würden denn dem
Skript zur Verfügung stehen? Zu welchem Zeitpunkt würdest Du denn das
Skript loslassen?

> Bzw. kann ich dort auch einen seperate config-datei importiren ( quasie
> wie die vhost.conf beim apache) ?

Habe nichts entsprechendes in man metalog.conf gefunden.

Was ganz anderes: Du kannst iptables mit der Option --log-prefix in der
Logging-Regel so konfigurieren, dass es einen frei wählbaren Prefix vor
Deine Log-Nachrichten hängt. Danach kannst Du metalog dann suchen lassen,
das ist vielleicht etwas eleganter als nach "IN=eth". Mehr dazu in man
iptables.

Grüße,
Anno.

-- 
gentoo-user-de@lists.gentoo.org mailing list

Re: [gentoo-user-de] Re: Re: Re: Metalog Logverzeichnis erstellen

[Boris Voelkle]

Anno v. Heimburg schrieb:
> Boris Voelkle wrote:
>   
>> Danke, bin kritikfähig...;-)
>> Aber langsam verstehe ich die ganzen Zusammenhänge.
>> Demnach brauch ich nicht extra mit einem zusätzlichen Script die
>> Einträge noch mals zu differenziren, sondern kann das im metalog.conf
>> editieren ?
>>     
>
> Ja, Metalog bekommt ja auch die Lognachrichten vom Kernel (bis auf die
> Nachrichten bei Systemstart, wenn Metalog noch nicht läuft). So ganz
> komplett verstehe ich die Frage aber ehrlich gesagt nicht. Welche
> Informationen, die Metalog nicht zur Verfügung stehen, würden denn dem
> Skript zur Verfügung stehen? Zu welchem Zeitpunkt würdest Du denn das
> Skript loslassen?
>   
Das Script würde den Output von Metalog selektieren: In diesem Fall
speziell die Daten des iptables-Output.
Anders rum bräucht ich gleich einen eigenen logd.


>   
>> Bzw. kann ich dort auch einen seperate config-datei importiren ( quasie
>> wie die vhost.conf beim apache) ?
>>     
>
> Habe nichts entsprechendes in man metalog.conf gefunden.
>   

Ich auch nicht ;-)
Aber das wäre dan mit xx/logsentry realisierbar ?


> Was ganz anderes: Du kannst iptables mit der Option --log-prefix in der
> Logging-Regel so konfigurieren, dass es einen frei wählbaren Prefix vor
> Deine Log-Nachrichten hängt. Danach kannst Du metalog dann suchen lassen,
> das ist vielleicht etwas eleganter als nach "IN=eth". Mehr dazu in man
> iptables.
>   

Würde das ganze Lesbarer machen, danke für den Tip!

> Grüße,
> Anno.
>
>   
BB

Boris

-- 

---------------------------------------------------------------------
---- boris@voelkle.eu -------- www.voelkle.eu -----------------------
---------------------------------------------------------------------
---- Schlüssel-ID:0x89B2EE62 --- pool.sks-keyservers.net ------------
---------------------------------------------------------------------
---- Fingerprint:BFA5 831F A40E A632 80B2 8D69 9E75 349B 89B2 EE62 --
---------------------------------------------------------------------

-- 
gentoo-user-de@lists.gentoo.org mailing list

[gentoo-user-de] Re: Re: Re: Re: Metalog Logverzeichnis erstellen

[Anno v. Heimburg]

Boris Voelkle wrote:

> Das Script würde den Output von Metalog selektieren: In diesem Fall
> speziell die Daten des iptables-Output.
> Anders rum bräucht ich gleich einen eigenen logd.

Ich blick's immer noch nicht. Sagen wir, Du gibst
einen --log-prefix "iptables" in alle Deine iptables-Logzeilen, und hast in
der metalog.conf:

|iptables:
|  facility = "kern"
|  regex = "iptables"
|  logdir = "/var/log/iptables"

(natürlich ohne die "|")

Dann packt dir metalog alles in /var/log/iptables/current. Wozu brauchst Du
dann noch ein Selektionsskript? Und wozu bräuchtest Du einen separaten
logd?

Anno.




-- 
gentoo-user-de@lists.gentoo.org mailing list