Data postarii 2012-11-20      Subiect: Logare IPTABLES in fisier diferit      Categorie: Linux

Logurile iptables intr-un fisier separat pe sistemele RedHat(CentOS de exemplu)?

 

      Diferit de /var/log/messages si sa nu logheze in acelasi timp si in acest fisier, cum majoritatea sys adminilor fac acest lucru incarcand diferite fisier log de kernel sau info cu informatii redundante despre firewallul configurat.

 
Firewall

 

      Mai intai sistemul dvs firewall, implicit iptables, trebuie sa stie sa logheze ceea ce doriti sa trimiteti fisierelor log, de accea in tabela de input adaugati de exemplu prefixul  “iptables_DROP”.


-A INPUT  -j LOG --log-prefix "iptables_DROP: " --log-level 4(sau warning, 7 - debug)

 

-A INPUT  –j DROP

 


      Acum se pot vedea intrarile iptables in fisierul jurnal /var/log/messages, intrari ce vor contine cuvantul definit de dvs „iptables_DROP”(binenteles daca aceste intrari sunt definite a fi logate!).

Pentru a realiza un alt fisier ce va contine fisierele jurnal trebuie sa adaugati in fisierul /etc/rsyslog.conf  urmatoarea linie:


:msg, contains, "iptables_DROP: "  -/var/log/iptables.log

 

& ~

 

      De retinut este faptul ca aceasta linie trebuie adaugata inainte de orice alta linie de configurare pentru ca acesta sa aiba efect, deoarece semnul “~” face ca orice intrare logata sa nu mai fie inclusa in vreun alt fisier de jurnal(logare).


Pentru a realiza rotirea fisierelor de jurnal a iptables si anume de a scrie pe rand in iptables1, iptables2, iptables3…numar definit de dvs, trebuie sa realizati un fisier iptables in /etc/logrotate.d/ cu comanda:


#cd /etc/logrotate.d


#touch iptables


# vi iptables

 

      Si veti introduce urmatorul text

 

fisierele jurnal vor fi /var/log/iptables.log

     {

           rotate 7 // pastreaza logurile din ultima saptamana

           daily     // roteste logurile zilnic

           missingok

           notifempty

           delaycompress

           compress

           postrotate

           invoke-rc.d rsyslog reload > /dev/null

           endscript

    }

 

 

Dupa aceste operatiuni nu va ramane decat sa restartati serviciul rsyslog pentru ca aceste configurari sa fie incarcate:

#/etc/init.d/rsyslog restart

 

www.dlsit.ro   >> design - linux - servicii - it.ro Pentru orice problema tehnica contactati-ne