iptables-FW: logging in separates file

RaistlinMajere · 10.01.2006, 05:49

standardmäßig loggt iptables ja in /var/log/syslog.

ich möchte nun, um die FW-logs von den übrigen logs zu separieren, daß diese in ein eigenes logfile geschrieben werden. dazu habe ich bereits gegoogelt und das hier gefunden, das eigentlich ganz gut aussieht. nur hätte ich dazu noch einige fragen, von denen ich hoffe, daß sie mir jemand beantworten kann.

1.) ich verwende ubuntu. eine syslog-ng.conf, wie sie in dem verlinkten post erwähnt wird, habe ich da nicht gefunden, nur eine syslog.conf, die aber nicht wirklich die form aufweist, wie sie in dem oben verlinkten post zu sehen ist. muß ich da was nachinstallieren?

2.) wie dort auch steht, kann man auch den daemon ulogd verwenden. zahlt sich das hier aus (scheint ja doch eher für aufwendigere aufgaben, z.b. logging in eine DB zu dienen) oder ist die obige lösung eher zu bevorzugen (sieht mir recht simpel aus, ein einfaches filtering)?
ich hab mir den ulogd mal installiert, nur die doku ist, gelinde gesagt, dürftig.

google spuckt leider auch nicht viel darüber aus, kann mir vllt. jemand einen tipp geben, wie ich mit ulogd mein problem lösen könnte?

3.) ich habe auf meinem system die logs auf eine eigene partition gegeben, um für den fall, daß diese überläuft, nicht das OS zu gefährden. nun würde ich gerne über einen cronjob checken lassen, ob der inhalt von var/log/ eine gewisse größe (die partition hat 12GB, ich hätte als limit 10GB angenommen) überschritten hat und in diesem fall die ältesten logs entfernen.
wie mache ich das am geschicktesten?
ich habe daweil nur den anfang des entsprechenden scripts, der das limit festlegt und die größe von /var/log/ einholt.
ich dachte weiter daran, das logfile herzunehmen und einfach zu kopieren, allerdings nicht alles, sondern nur die z.b. die letzten 80% davon, wodurch die oberen 20% verlorengehen, wenn ich danach das alte logfile lösche.

gemacht hätte ich das, in dem ich mir mit wc -l angeschaut hätte, wieviele zeilen das logfile beim "überlauf" hat um dann ein tail mit 80% dieser zeilenanzahl zu machen, dessen ergebnis in das neue logfile geschrieben wird.

meinungen dazu?

bin für jede hilfe/anregung dankbar.

callas · 10.01.2006, 09:26

ad 3) dafür gibts logrotate

http://packages.debian.org/unstable/admin/logrotate

RaistlinMajere · 11.01.2006, 00:58

das logging funktioniert mittlerweile, habs mit syslog-ng (ist ein eigenes paket) gemacht.

logrotate dürfte für das andere genau das sein, was ich brauche. ist auch nicht wirklich schwer, soweit ich das sehe, nur bin ich mir ehrlich gesagt nicht ganz darüber im klaren, was genau bei einem rotate eigentlich passiert.

kann mir das bitte jemand erklären?

callas · 11.01.2006, 11:45

das Logfile wird nach einer eingestellten zeit ( zB 1 woche, standard bei redhat ) in das file logfile.1 umkopiert, geloggt wird in das nun leere orginalfile. eine woche später wird logfile1 zu logfile2, logfile zu logfile1 usw.

zB nach 4 wochen wird das älteste gelöscht.

RaistlinMajere · 11.01.2006, 14:31

alles klar, vielen dank.

eine letzte frage noch: wenn ich z.b. das folgende habe:

Code:

/var/log/firewall.log {
	missingok
       	rotate 10
        weekly
       	size=1048576k
      	postrotate
               echo "$(date) - Firewall Logs rotated" >> /var/log/firewall_rotate.log
       	endscript
}

bezieht sich die size auf die einzelnen files (in diesem fall hat jedes der 10 files 1GB) oder auf die summe aller files (d.h. des gesamten Logs)?

callas · 11.01.2006, 14:52

size per file

RaistlinMajere · 11.01.2006, 15:09

super, danke vielmals.

callas · 11.01.2006, 15:17

grml blede datenbank

10.01.2006, 05:49	#1
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	iptables-FW: logging in separates file standardmäßig loggt iptables ja in /var/log/syslog. ich möchte nun, um die FW-logs von den übrigen logs zu separieren, daß diese in ein eigenes logfile geschrieben werden. dazu habe ich bereits gegoogelt und das hier gefunden, das eigentlich ganz gut aussieht. nur hätte ich dazu noch einige fragen, von denen ich hoffe, daß sie mir jemand beantworten kann. 1.) ich verwende ubuntu. eine syslog-ng.conf, wie sie in dem verlinkten post erwähnt wird, habe ich da nicht gefunden, nur eine syslog.conf, die aber nicht wirklich die form aufweist, wie sie in dem oben verlinkten post zu sehen ist. muß ich da was nachinstallieren? 2.) wie dort auch steht, kann man auch den daemon ulogd verwenden. zahlt sich das hier aus (scheint ja doch eher für aufwendigere aufgaben, z.b. logging in eine DB zu dienen) oder ist die obige lösung eher zu bevorzugen (sieht mir recht simpel aus, ein einfaches filtering)? ich hab mir den ulogd mal installiert, nur die doku ist, gelinde gesagt, dürftig. google spuckt leider auch nicht viel darüber aus, kann mir vllt. jemand einen tipp geben, wie ich mit ulogd mein problem lösen könnte? 3.) ich habe auf meinem system die logs auf eine eigene partition gegeben, um für den fall, daß diese überläuft, nicht das OS zu gefährden. nun würde ich gerne über einen cronjob checken lassen, ob der inhalt von var/log/ eine gewisse größe (die partition hat 12GB, ich hätte als limit 10GB angenommen) überschritten hat und in diesem fall die ältesten logs entfernen. wie mache ich das am geschicktesten? ich habe daweil nur den anfang des entsprechenden scripts, der das limit festlegt und die größe von /var/log/ einholt. ich dachte weiter daran, das logfile herzunehmen und einfach zu kopieren, allerdings nicht alles, sondern nur die z.b. die letzten 80% davon, wodurch die oberen 20% verlorengehen, wenn ich danach das alte logfile lösche. gemacht hätte ich das, in dem ich mir mit wc -l angeschaut hätte, wieviele zeilen das logfile beim "überlauf" hat um dann ein tail mit 80% dieser zeilenanzahl zu machen, dessen ergebnis in das neue logfile geschrieben wird. meinungen dazu? bin für jede hilfe/anregung dankbar. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

11.01.2006, 00:58	#3
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	das logging funktioniert mittlerweile, habs mit syslog-ng (ist ein eigenes paket) gemacht. logrotate dürfte für das andere genau das sein, was ich brauche. ist auch nicht wirklich schwer, soweit ich das sehe, nur bin ich mir ehrlich gesagt nicht ganz darüber im klaren, was genau bei einem rotate eigentlich passiert. kann mir das bitte jemand erklären? ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

11.01.2006, 14:31	#5
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	alles klar, vielen dank. eine letzte frage noch: wenn ich z.b. das folgende habe: Code: /var/log/firewall.log { missingok rotate 10 weekly size=1048576k postrotate echo "$(date) - Firewall Logs rotated" >> /var/log/firewall_rotate.log endscript } bezieht sich die size auf die einzelnen files (in diesem fall hat jedes der 10 files 1GB) oder auf die summe aller files (d.h. des gesamten Logs)? ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

11.01.2006, 15:09	#7
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	super, danke vielmals. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

10.01.2006, 09:26	#2
callas Inventar Registriert seit: 19.01.2000 Ort: Leoben Alter: 57 Beiträge: 3.128 Mein Computer	ad 3) dafür gibts logrotate http://packages.debian.org/unstable/admin/logrotate

11.01.2006, 11:45	#4
callas Inventar Registriert seit: 19.01.2000 Ort: Leoben Alter: 57 Beiträge: 3.128 Mein Computer	das Logfile wird nach einer eingestellten zeit ( zB 1 woche, standard bei redhat ) in das file logfile.1 umkopiert, geloggt wird in das nun leere orginalfile. eine woche später wird logfile1 zu logfile2, logfile zu logfile1 usw. zB nach 4 wochen wird das älteste gelöscht.

11.01.2006, 14:52	#6
callas Inventar Registriert seit: 19.01.2000 Ort: Leoben Alter: 57 Beiträge: 3.128 Mein Computer	size per file

11.01.2006, 15:17	#8
callas Inventar Registriert seit: 19.01.2000 Ort: Leoben Alter: 57 Beiträge: 3.128 Mein Computer	grml blede datenbank

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)