Moin moin ! Welchen "Trigger" muss in der syslog.conf eintragen damit die Meldungen der SuSE Firewall in einem separaten Logfile landen ? [Firewall Meldungen] Feb 24 09:59:12 ACHIM kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=213.6.167.xx DST=213.7.24.xx LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=9896 DF PROTO=TCP SPT=3772 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405B401010402) [syslog.conf] mail.* /var/log/firewall ^^^^^^ ?? Cu Achim -- Am texanischen Wesen soll die Welt genesen. (c) by G.(W.) Bush 1992+2003
Achim Theobald schrieb:
Moin moin !
Welchen "Trigger" muss in der syslog.conf eintragen damit die Meldungen der SuSE Firewall in einem separaten Logfile landen ?
[Firewall Meldungen] Feb 24 09:59:12 ACHIM kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=213.6.167.xx DST=213.7.24.xx LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=9896 DF PROTO=TCP SPT=3772 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405B401010402)
[syslog.conf]
mail.* /var/log/firewall ^^^^^^ ??
Geht es nur um diese Meldung? Wenn es die Personal ist kann man das in der Config IMHO einstellen (ignore Ports glaube ich) Grüße Stefan
Stefan Eggert wrote:
Geht es nur um diese Meldung? Wenn es die Personal ist kann man das in der Config IMHO einstellen (ignore Ports glaube ich)
Schon klar, das ist aber NICHT das was ich will :-\ Ich hätte nur gerne alle (Fehler)Meldungen der FW in einem separaten Logfile und nicht nur in "messages" und auf tty10. Un daher die Frage wie ich ich diese Medlungen in der syslog.conf abfangen und in ein separates Log umleiten kann. Cu Achim -- Am texanischen Wesen soll die Welt genesen. (c) by G.(W.) Bush 1992+2003
Hi Achim, Achim Theobald schrieb:
Stefan Eggert wrote:
Geht es nur um diese Meldung? Wenn es die Personal ist kann man das in der Config IMHO einstellen (ignore Ports glaube ich)
Schon klar, das ist aber NICHT das was ich will :-\ Ich hätte nur gerne alle (Fehler)Meldungen der FW in einem separaten Logfile und nicht nur in "messages" und auf tty10. Un daher die Frage wie ich ich diese Medlungen in der syslog.conf abfangen und in ein separates Log umleiten kann.
ich hab für einen ähnlichen Fall (bestimmte meldungen aus dem isdn logging) eine named pipe angelegt, den syslog da reinpusten lassen und auf der anderen Seite ein php script laufen was das Zeug auswertet und in einer Datenbank ablegt. Musst du nur aufpassen das der syslogd nicht stirbt wenn der reader abnippelt, sprich nen wachhund dran setzen der die beiden wieder restartet wenn was schief geht. sollte nicht auch vor Jahren mal irgend ein syslogd ein integriertes grep beigebracht bekommen? Gruss Falk
Achim Theobald schrieb:
Stefan Eggert wrote:
Geht es nur um diese Meldung? Wenn es die Personal ist kann man das in der Config IMHO einstellen (ignore Ports glaube ich)
Schon klar, das ist aber NICHT das was ich will :-\ Ich hätte nur gerne alle (Fehler)Meldungen der FW in einem separaten Logfile und nicht nur in "messages" und auf tty10. Un daher die Frage wie ich ich diese Medlungen in der syslog.conf abfangen und in ein separates Log umleiten kann.
Cu
Achim
Hi Achim! Systemprotokolle einrichten Systemprotokolle werden unter Unix immer vom syslog-D"amon erstellt. Hierbei protokolliert er alle Meldungen, die in der Konfigurationsdatei, meist /etc/syslog.conf, als protokollierw"urdig definiert wurden. Hier kann auch festgelegt (..) Seite gibt es hier: http://www.google.de/search?q=cache:aWyvgbxSLq4J:www-stud.fh-fulda.de/~fd1918/netz_02/drygas/hausarbe/firewall.ps+suse+firewall+logfile+seperat+syslog.conf&hl=de&ie=UTF-8
Am 24.02.2004 um 10:32 Uhr schrieb Achim Theobald:
Welchen "Trigger" muss in der syslog.conf eintragen damit die Meldungen der SuSE Firewall in einem separaten Logfile landen ?
[Firewall Meldungen] Feb 24 09:59:12 ACHIM kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=213.6.167.xx DST=213.7.24.xx LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=9896 DF PROTO=TCP SPT=3772 DPT=135 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405B401010402)
[syslog.conf]
mail.* /var/log/firewall ^^^^^^ ??
Du hast ja schon vierschiedene Hinweise bekommen. Bei mir habe ich folgendes eingerichtet (ist aber nur ein Würgaround - letztendlich nicht befriedigend): [syslog.conf] # ## FIREWALL # kern.* -/var/log/firewall Damit bekommst du alle kernel-Meldungen in diese Datei (also z. B. auch, wenn von einer CD/Disk nicht gelesen werden kann) Um diese Einträge zu sortieren lasse ich einen cron-job wöchentlich laufen, der ein script ausführt: # firewall-Einträge in log-Datei schreiben grep SuSE-FW /var/log/firewall >> /var/log/firewall.log # zippen der Datei mit aktuellem Datum gzip -S .`date +%y-%m-%d`.gz /var/log/firewall Dabei wird /var/log/firewall gelöscht. Wenn ich für mich die firewall.log ausgewertet habe, lösche ich sie von Hand (mach ich regelmäßig - im Notfall kann ich auf die zips zurückgreifen). Vielleicht kannst du ja damit etwas anfangen! cu PeeGee PS: Wer das eleganter lösen kann - gerne bin ich an dieser Lösung interessiert!
*** Peter Geerds (linux-ml@gnomeatlinux.de) schrieb am Feb 25, 2004 in...:
[...] [syslog.conf]
# ## FIREWALL # kern.* -/var/log/firewall [...]
Argl! Damit wirfst Du im Zweifelsfalls weitere *wichtige* Meldungen weg! Bitte verwendet "syslog-ng"! Damit kann man das - eben anhand von Filtern mit geeigneten regex-Patterns - *sauber* trennen. MfG Henning Hucke -- Lebst Du um zu arbeiten, oder arbeitest Du um zu leben?
participants (5)
-
Achim Theobald
-
Falk Sauer
-
Henning Hucke
-
Peter Geerds
-
Stefan Eggert