LOG del firewall su file separato

[HMD]

Ciao a tutti,
volevo sapere se era possibile reindirizzare i log del firewall (iptables)
su un file di mia scelta, tipo /var/log/firewall.log

Grazie a tutti!

--
HMD

[THe_ZiPMaN]

On 03/07/2009 10:13 PM, HMD wrote:
> volevo sapere se era possibile reindirizzare i log del firewall (iptables)
> su un file di mia scelta, tipo /var/log/firewall.log

Sì, è possibile.

--
Flavio Visentin

Scientists have finally discovered what's wrong with the female brain:
On the left side, there is nothing right, and on the right side, there
is nothing left.

[HMD]

E sai anche dirmi in che modo ?

--
HMD

"THe_ZiPMaN" <sp...@zipman.it> ha scritto nel messaggio
news:49b30a7c$1...@news.telnetwork.it...

> On 03/07/2009 10:13 PM, HMD wrote:
>> volevo sapere se era possibile reindirizzare i log del firewall
>> (iptables) su un file di mia scelta, tipo /var/log/firewall.log
>

> Sě, č possibile.

[THe_ZiPMaN]

On 03/08/2009 07:58 AM, HMD wrote:
> E sai anche dirmi in che modo ?

Sì :)
Devi installareun syslog server che ti permetta di fare filtering su dei
pattern e poi sfruttare il match per redirigere il log sul file che vuoi.

Due log daemon che fanno al caso tuo sono syslog-ng e rsyslogd. Inizialmente
usavo il primo, ma oggi punto tutto sul secondo che è decisamente più
completo e versatile supportando anche i template per i nomi di file.

Premetto che io uso shorewall come wrapper per iptables (e te lo consiglio
vivissimamente) che mette come prefisso alle entries la stringa "Shorewall"
su cui faccio match (tu puoi aggiungerne una a tua scelta con --log-prefix)

Per syslog-ng:

destination df_firewall { file("/var/log/firewall.log"); };
filter f_firewall { match("Shorewall"); };
log {
source(s_all);
filter(f_firewall);
destination(df_firewall);
};

Se vuoi anche toglierli dagli altri log (come p.es. kern) devi modificare le
corrispondenti sezioni aggiungendo il filtro che esclude i messaggi:

filter f_no_firewall { not match("Shorewall"); };

# kern.* -/var/log/kern.log
log {
source(s_all);
filter(f_kern);
filter(f_no_firewall);
destination(df_kern);
};

Per rsyslog il discorso è analogo ma un po' più sbrigativo:

# Shorewall
:msg,contains,"Shorewall" -/var/log/firewall.log

E anche qui se vuoi escludere altre destinazioni aggiungi subito dopo la
precedente la linea:

:msg,contains,"Shorewall" ~

[Vide]

THe_ZiPMaN wrote:

> Per rsyslog il discorso è analogo ma un po' più sbrigativo:
>
> # Shorewall
> :msg,contains,"Shorewall" -/var/log/firewall.log
>
> E anche qui se vuoi escludere altre destinazioni aggiungi subito dopo la
> precedente la linea:
>
> :msg,contains,"Shorewall" ~

Fica sta sintassi... mi sa che provo anche io la migrazione syslog-ng ->
rsyslog

--
Vide

[THe_ZiPMaN]

On 03/09/2009 06:33 PM, Vide wrote:
> Fica sta sintassi... mi sa che provo anche io la migrazione syslog-ng ->
> rsyslog

Questo è NIENTE :)
Allegata trovi una chicca con archiviazione e rotazione dei log integrata
(comunque io nell'esempio lascio anche la rotazione classica).

Prevede anche l'uso di logger nella conf di apache in questo modo:
ErrorLog "|/usr/bin/logger -p local5.err -t http_nomesito_error"
CustomLog "|/usr/bin/logger -p local5.info -t http_nomesito_access" combined

Non so ovviamente se su siti ad alto traffico l'uso di logger possa creare
problemi :)

[whiplash]

Il Sun, 08 Mar 2009 14:52:08 +0100, THe_ZiPMaN scrisse:

> Due log daemon che fanno al caso tuo sono syslog-ng e rsyslogd

E' un po' che voglio provare rsyslogd.
Volevo segnalare che, per quanto riguarda netfilter, è anche possibile
usare il target ULOG

[Vide]

THe_ZiPMaN wrote:

> Non so ovviamente se su siti ad alto traffico l'uso di logger possa creare
> problemi :)

Sì, nessun problema. Uso logger in apache su un sito ad alto traffico (oltre
10G di log apache al giorno... spero si possa considerare alto traffico) e non
mi ha dato mai nessun problema.

--
Vide

[giglio robbo' d'acciaio]

Vide <vid...@gmail.com> writes:

Su Lenny è stato eletto logger di default.