hi, ist es möglich, ein eigenes log - level für syslog anzugeben, so dass zb iptables in eine eingene datei loggen kann? ciao sascha
"Sascha Andres" wrote:
ist es möglich, ein eigenes log - level für syslog anzugeben, so dass zb iptables in eine eingene datei loggen kann?
Jede Syslog-Nachricht hat eine "Facility" und ein "Log-Level". Die Facility gibt grob an, welche Art von Programm oder Vorgang die Nachricht erzeugt hat. Beispiele dafür sind kern, auth, cron und mail. (Vollständige Liste siehe `man syslog.conf`.) Die Facility wird von einem Programm in der Regel einmal beim Start gewählt (bei manchen Programmen über Konfigurationsdateien oder Optionen beeinflußbar) und dann für den Rest der Laufzeit beibehalten. Dann wird noch jeder einzelnen Nachricht ein individuelles Log-Level (debug, info, notice, warn, ...) mitgegeben, daß die Bedeutung der Nachricht angibt. Nach der Kombination dieser beiden Merkmale kann der syslogd filtern. Es ist bei iptables möglich, bei Regeln mit dem Ziel LOG als zusätzliche Option den gewünschten Log-Level anzugeben, wie auch in `man iptables` beschrieben: | LOG | Turn on kernel logging of matching packets. [...] | | --log-level level | Level of logging (numeric or see syslog.conf(5)). Das löst Dein Problem aber nicht wirklich, da die Nachrichten immer noch die Facility kern (= Kernel-Meldungen) haben. Und alleine anhand des Log-Levels kannst Du sie nicht sauber von anderen Kernel-Meldungen trennen, denn die machen ja auch von unterschiedlichen Log-Levels gebrauch. Zum ordentlichen Aussortieren der Iptables-Meldungen wäre also die Verwendung einer gesonderten Facility nötig, aber das läßt sich ohne Änderungen am Kernel nicht machen. (Mit etwas C-Kenntnissen dürfte der Eingriff sogar relativ einfach sein, wenn mich der erste Eindruck nicht trügt.) Eine Alternative bestünde in der Verwendung eines syslogd-Ersatzes mit weitergehenden Filtermöglichkeiten. Z.B. soll es mit syslog-ng (zu finden unter http://www.freshmeat.net/) möglich sein, auch anhand der Nachrichtentexte zu filtern -- ich habe ihn noch nicht selbst getestet. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
participants (2)
-
Eilert Brinkmann
-
Sascha Andres