syslog-ng.conf Logfile für Firewall, aber wie?

Dieses Thema im Forum "SuSE / OpenSuSE" wurde erstellt von OliverFfm, 23.04.2007.

  1. #1 OliverFfm, 23.04.2007
    OliverFfm

    OliverFfm Mitglied

    Dabei seit:
    12.12.2005
    Beiträge:
    29
    Zustimmungen:
    0
    Ort:
    Frankfurt
    Hallo,
    ich habe mir ein großes Regelwerk mit iptables erstellt. Es funktioniert alles super. Ich möchte aber auch die Vorgänge in Logfiles speichern.

    iptables ......... -j LOG --log-prefix "ICMP: "

    In dieser Art habe ich einige Aktionen mit einem Log verknüpft. Aber wohin speichert das denn die Daten?

    /var/log/Logdatei

    Das müßte der Pfad sein. Aber egal ob ich die Datei warn, messsages usw anschaue, nie sind da Daten von iptables. Habe dann mal nachgelesen und erfahren, dass man was in syslog-ng.conf einstellen kann.

    Da steht aber bei mir nur

    destination firewall { file("/var/log/firewall");};
    log { source(src);filter(f_tables; destination(firewall); };

    Was muß ich denn da genau eintragen?
    Meine Firewallregeln heißen /etc/iptables.rules

    Und sie werden von dem Scribt Firewall_Vers1, welches im Verzeichnis root liegt, aufgerufen.

    Bitte helft mir und sagt mir was ich da genau eintragen muß, damit meine Logs in einer Datei landen. Übrigens gibt es bei mir diese Datei firewall nicht. Habe die einfach mal erzeugt und gehofft da wird was reingeschrieben, aber das war nicht so.

    Nun weiß ich nicht weiter. Stehe total unter Zeitdruck

    Gruß Oliver

    PS: Es würde mir aber auch langen, wenn jemand weiß, wo momentan denn meine Logdaten landen. Irgendwo müssen die ja reingeschrieben werden
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Fallout, 23.04.2007
    Fallout

    Fallout Doppel-As

    Dabei seit:
    02.03.2007
    Beiträge:
    120
    Zustimmungen:
    0
    Hi,

    sind meines Wissens nach die syslog-ng Standardregeln für die "Firewall"-Umgebung bei openSuSE 10.x.
    Wenn Du diese Regeln so auch in Deiner syslog-ng.conf findest, sollten eigentlich auch die Logausgaben von iptables in /var/log/firewall landen.

    Per Standard kommen ansonsten immer alle Meldungen in /var/log/messages (Auch mittels Regeln definiert). Achtung: Die SuSE-Standard-Regel
    unterbindet u. a. das Auftauchen der iptables Meldungen in /var/log/messages (sonst würden sie in beiden vorkommen).

    Du kannst natürlich mit einem eigenen Log-Präfix in iptables Dein syslog-ng mit einem eigenen Filter auf dieses Präfix ansetzen und entsprechende Meldungen in eine ganz eigene Datei schreiben lassen.
    Wenn Du mal etwas mehr Zeit hast, kannst Du Dir ja u. a. mal Informationen zu syslog-ng ansehen :D

    Gruß Daniel
     
  4. #3 OliverFfm, 24.04.2007
    OliverFfm

    OliverFfm Mitglied

    Dabei seit:
    12.12.2005
    Beiträge:
    29
    Zustimmungen:
    0
    Ort:
    Frankfurt
    Ok, habe mir eben mal die Seite angeschaut und druchgelesen. Vielen Dank. Heute habe ich mehr verstanden wie gestern Nacht übermüdet vor´m PC. So wie es aussieht ist bei mir auch alles richtig eingestellt.
    Aber was ich nicht rauslesen konnte, ob ich jetzt einfach eine leere Datei erstellen soll... Und wenn ja mit wlechen Rechten. Oder wird die Datei automatisch generiert. Oder macht das iptables. Muß ich vielleicht in meinem Startscript oder in dem Script für die Rules sowas wie

    touch /var/log/firewall eintragen. Bitte um kurze Antwort.

    Gruß Oliver
     
  5. #4 Fallout, 24.04.2007
    Fallout

    Fallout Doppel-As

    Dabei seit:
    02.03.2007
    Beiträge:
    120
    Zustimmungen:
    0
    Hi,

    syslog-ng erstellt die Logdatei bei Bedarf selbst. Du kannst sie auch mal zum Test von Hand anlegen (sudo touch /var/log/firewall; sudo chmod 640 firewall).
    Beachte auch, daß jede Änderung an der syslog-ng.conf einen Neustart bzw. zumindest ein Neu laden erfordert, damit diese wirksam werden.

    Wenn trotzdem keine Meldungen in /var/log/firewall landen, solltest Du mal die restlichen logfiles - vor allem /var/log/messages - durchsuchen, ob sie falsch oder gar nicht gefiltert wurden.
    Code:
    #> find /var/log -type f -exec egrep -H 'IN=|OUT=' {} \;
    Hast Du denn in der syslog-ng.conf selbst noch ein wenig gebastelt, oder ist es noch die originale von der SuSE-Installation?
    Du könntest auch mal noch die Ersetzung einbauen:
    Code:
    # filter f_messages { not facility(news, mail) and not filter(f_iptables); };
    filter f_messages { not facility(news, mail); };
    und syslog-ng neu starten, um dann zu sehen, ob die itpables-Meldungen dann wenigstens in /var/log/messages auftauchen.

    Gruß Daniel
     
  6. #5 OliverFfm, 24.04.2007
    Zuletzt bearbeitet: 24.04.2007
    OliverFfm

    OliverFfm Mitglied

    Dabei seit:
    12.12.2005
    Beiträge:
    29
    Zustimmungen:
    0
    Ort:
    Frankfurt
    Danke für die schnelle Antwort.

    Habe nichts weiter an der syslog-ng verändert. Habe alle Einträge verglichen. Und es stimmt alles so wie es sein soll. Also fang ich mal an. File ist erstellt. Ich muß mich dann jetzt vom Netz trennen, da die Tests in zwei lokalen miteinander verbundenen Test durchgeführt werden.
    Aber danke für die Erklärung. Habe es jetzt verstanden wie das ganze funktioniert ;-)

    Gruß Oliver
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Die anderen Logs habe ich auch immer durchgeschaut. Aber lasse jetzt erstmal die ganzen Szenarien durchlaufen. da müssen ja dann Logeinträge registriert werden.
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Ich habe meine ersten Testversuche hinter mir und es klappt super. Vielen Dank. Das war echt wichtig gewesen, dass das klappt

    Gruß Oliver
     
Thema:

syslog-ng.conf Logfile für Firewall, aber wie?

Die Seite wird geladen...

syslog-ng.conf Logfile für Firewall, aber wie? - Ähnliche Themen

  1. Zwei Fragen 1. zu OpenVPN und 2. zu Logfiles

    Zwei Fragen 1. zu OpenVPN und 2. zu Logfiles: Hi, habe seit kurzem ein neues Spielzeug :brav: Seagate FreeAgent DockStar. [GELÖST Danke @ Ulix] Leider habe ich noch nicht viel mit...
  2. script um logfile zu monitoren/anzupassen

    script um logfile zu monitoren/anzupassen: Hallo zusammen, ich hoffe hier kann mir jemand helfen:-) Folgendes Problem. Ich benötige ein script (perl), mit dem ich bestimmte logfiles...
  3. Datumsformat bei Logfileausgabe ändern

    Datumsformat bei Logfileausgabe ändern: Hi... ich habe ein folgendes Problem. Ich möchte ein Logfile per Skript analysieren. Leider ist das Datumsformat recht unpassend, um es per...
  4. Logfile der FW in ein seperates Logfile schicken

    Logfile der FW in ein seperates Logfile schicken: Hallo, (OS = CentOS 5.2) eigentlich brauche ich keine FW auf der Linuxkiste (Bintec-Router im Netz) , aber irgendwie wollte ich mir die Zeit...
  5. Logfile erstellen

    Logfile erstellen: Hallo Leute Ich hab mir ein recht großes Shell-Skript gbastelt, dass von verschiedenen Helferprogrammen (SED, AWK...). Ich will die...