Toon posts:

[metalog] firewall loggen in andere file

Pagina: 1
Acties:

zondag 3 november 2002 23:37

Acties:
  • wzzrd
  • Registratie: Februari 2000
  • Laatst online: 10-05 12:50

wzzrd

The guy with the Red Hat

Topicstarter
Ik zou graag alle boodschappen van mijn firewall (Arno's IPTables script) loggen in /var/log/vuurmuur. Ik heb echter metalog geinstalleerd, en ik ondervind nu één van de grootste nadelen van (sommige) open source projecten: metalog is nogal brak gedocumenteerd.

Met andere woorden: ik kan niet / nergens vinden hoe ik metalog zo ver krijg dat 'ie iptables acties logt in een andere directory dan /var/log/kernel.

Iemand een suggestie?

maandag 4 november 2002 08:59

Acties:
  • x-force
  • Registratie: Maart 2001
  • Laatst online: 05-01-2024

x-force

via webmin kan je het geloof ik veranderen...

VangenopBetaalwater.nl Het platform om ervaringen over betaalwater in Frankrijk te delen met andere karpervissers zodat iedereen kan vangen op betaalwater!

maandag 4 november 2002 09:51

Acties:
  • wzzrd
  • Registratie: Februari 2000
  • Laatst online: 10-05 12:50

wzzrd

The guy with the Red Hat

Topicstarter
Mjah, ik snap dat het goed bedoeld is deze reactie, maar echt veel heb ik er niet aan. Webmin doet alleen de configuratie van syslog. Omdat ik metalog gebruik, heb ik daar dus niets aan. Metalog is nl. een ander programma. Met syslog is het ook niet zo moeilijk om een een firewall te laten loggen in een apart bestand / directory. Maar daar vroeg ik dan ook niet naar :) :P ;) Thanks anyway...

Ik zal mijn vraag even herformuleren. In de config-file van syslog kun je iets neerzetten als
code:
1

kern.=debug                                             /var/log/firewall

Hierdoor wordt alle shite die normaal gesproken in je syslog terecht zou komen ivm je firewall nu in /var/log/firewall gezet, wat een stuk overzichtelijker is. Ik gebruik alleen geen syslogd, maar metalog. Metalog heeft config-bestanden, waarin je iets moet vrotten als:
code:
1
2

  program  = "crond"
  logdir   = "/var/log/crond"

Je kunt evt. ook regex of facility gebruiken ipv program. Iemand enig idee wat ik op die eerste regel neer moet zetten als de twee moet zijn
code:
1

logdir  = "/var/log/vuurmuur"

:? help

maandag 4 november 2002 09:53

Acties:
  • Leon
  • Registratie: Maart 2000
  • Laatst online: 10-04 09:12

Leon

Rise Of The Robots

The logged messages can be dispatched according to their facility, urgency,program name and/or Perl-compatible regular expressions. Log files can be automatically rotated when they exceed a certain size or age. External shell scripts ex: mail) can be launched when specific patterns are found.
De eerste optie met de facility en urgency levels ziet er bijvoorbeeld zo uit:

code:
1
2
3
4

Kernel messages :

  facility = "kern"
  logdir   = "/var/log/kernel"


De tweede optie met programma namen ziet er zo uit:

code:
1
2
3

Smart :
  program  = "smartd"
  logdir   = "/var/log/smart"


En met reguliere expressies:

code:
1
2
3
4
5
6
7

Password failures :

  regex    = "(password|login|authentication)\s+(fail|invalid)"
  regex    = "(failed|invalid)\s+(password|login|authentication)"
  regex    = "ILLEGAL ROOT LOGIN"
  logdir   = "/var/log/pwdfail"
#  command  = "/usr/local/sbin/mail_pwd_failures.sh"



Je zou dus eerst en /var/log/everything/* kunnen kijken hoe het programma heet en dan ergens naartoe laten loggen, of reguliere expressies erop loslaten om het op te delen. Ik weet zo niet naar welke facility IPtables logt, maar als je dat weet zou je ook daarop kunnen loggen. :)

Let er wel op dat metalog cached en je dus een "killall -USR1 metalog" moet geven om dat (tijdelijk) uit te schakelen.
En dan "killall -USR2 metalog" om het weer in te schakelen.
Voor de zekerheid zou ik ook als root "/etc/init.d/metalog restart" doen.

edit:

Wat je dus boven "logdir = "/var/log/vuurmuur" moet zetten is iig een naam met dubbele punt (vraag me niet waarvoor metalog die gebruikt?) en "facility = "kern""

edit2:

op de homepage van metalog heb ik iig kunnen lezen waarvoor die naam met dubbele punt nodig is:
code:
1
2

- A title (useless for the software, it's just to make your configuration
file look better) .

:D

en nog wat voorbeeldjes:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

Here's a list of values that can be independently assigned for each section :

* minimum = <level> : only record a message if its urgency is inferior or
equal to <level> . Level '0' is the most critical one, while level '7' is for
debugging messages. 'minimum = 5' will strip all non-important messages. The
default minimum level is 7 (ie. keep all messages) .

Example : record only critical messages to /var/log/important :

Critical messages :

  facility = "*"
  minimum  = 1
  logdir   = "/var/log/important"

* facility = <facility> : only record a message if the application that
issued it uses syslog facility <facility> . Facility names are : "auth",
"authpriv", "cron", "daemon", "ftp", "kern", "lpr", "mail", "news",
"security", "syslog", "user", "uucp", "local0", "local1" ... "local7" .
All kernel messages are logged with facility "kern". A section can have
several "facility = ..." lines to match more than one facility.

Example : record all authentication messages to /var/log/auth :

Authentication messages :

  facility = "auth"
  facility = "authpriv"
  logdir   = "/var/log/auth"

Eeuwige n00b

maandag 4 november 2002 10:25

Acties:
  • wzzrd
  • Registratie: Februari 2000
  • Laatst online: 10-05 12:50

wzzrd

The guy with the Red Hat

Topicstarter
YES!! You da man! Ik had het al geprobeerd met alleen een regex, maar idd, het moet een regex én een facility zijn. Nog één ding vraag ik me af: als je meerdere regexen geeft, worden die dan behandeld als AND of als OR?

maandag 4 november 2002 10:40

Acties:
  • Leon
  • Registratie: Maart 2000
  • Laatst online: 10-04 09:12

Leon

Rise Of The Robots

ik denk als OR (meest logisch) maar dat zou je zelf even moeten kijken... :)

Metalog is trouwens helemaal brak gedocumenteerd, het heeft gewoon een heel simpele syntax voor het configuratiebestand... :P

[ Voor 0% gewijzigd door Leon op 04-11-2002 10:41 . Reden: grammar ]

Eeuwige n00b

maandag 4 november 2002 10:51

Acties:
  • wzzrd
  • Registratie: Februari 2000
  • Laatst online: 10-05 12:50

wzzrd

The guy with the Red Hat

Topicstarter
Leon schreef op 04 november 2002 @ 10:40:
ik denk als OR (meest logisch) maar dat zou je zelf even moeten kijken... :)

Metalog is trouwens helemaal brak gedocumenteerd, het heeft gewoon een heel simpele syntax voor het configuratiebestand... :P


Mwoah... Ik geloof toch dat ik het brak noem hoor :P

Damn'! Het werkt, maar nog niet perfect....
De log-entry's verschijnen namelijk in zowel het kernel-log als in mijn nieuwe vuurmuur log. Dat was niet de bedoeling! Het moest één van de twee worden!

maandag 4 november 2002 11:00

Acties:
  • Leon
  • Registratie: Maart 2000
  • Laatst online: 10-04 09:12

Leon

Rise Of The Robots

dan logt de regel van kernel-log alles van een facility waar IPTables ook naar logt.
Mischien de regel van kernel-log wat verder specificeren zodat hij die van IPTables niet meer meelogt door (bijvoorbeeld) de urgency aan te passen :? (zie boven)

Zoals ik al zei, ik weet niet naar welke facility IPTables logt, maar meestal kun je die ook aanpassen.

edit:

Google doet wonderen :)
code:
1
2
3
4

Yes, iptables uses the facility kern at priority warning (4). You can 
recompile the iptables and changing the facility in the source code. 
You can also use the LOG prefix if you want to redirect the iptables 
logging. (with some regular expression with syslog-ng for example)


Als je hier niets aan hebt... ;)

edit2:
na nog meer gegoogle:

Je kunt in iptables-firewall.conf van Arno's IPTables de "LOGLEVEL=info" waarde aanpassen naar (bijvoorbeeld) local0 t/m local7 en dan de regel van je metalog aanpassen hieraan. dan logt hij niet meer naar kern.warn :)

Volgende keer google gebruiken aub.. :)

Eeuwige n00b

maandag 4 november 2002 13:52

Acties:
  • wzzrd
  • Registratie: Februari 2000
  • Laatst online: 10-05 12:50

wzzrd

The guy with the Red Hat

Topicstarter
Leon schreef op 04 november 2002 @ 11:00:
Volgende keer google gebruiken aub.. :)


Woei!! Hoor dat nou! LOL :D
Mwah, je hebt wel een beetje gelijk, maar "ga googlen" is wellicht meer een antwoord wanneer de vraag luidt "hoe installeer ik lilo" of zoiets :P

Nou ja, ik zal googlen hoor ;) w00t!

Bedankt overigens, ik denk dat het wel gaat lukken zo :)
Pagina: 1
Reageer