iptables-FW: logging in separates file

RaistlinMajere · 10.01.2006, 05:49

standardmäßig loggt iptables ja in /var/log/syslog.

ich möchte nun, um die FW-logs von den übrigen logs zu separieren, daß diese in ein eigenes logfile geschrieben werden. dazu habe ich bereits gegoogelt und das hier gefunden, das eigentlich ganz gut aussieht. nur hätte ich dazu noch einige fragen, von denen ich hoffe, daß sie mir jemand beantworten kann.

1.) ich verwende ubuntu. eine syslog-ng.conf, wie sie in dem verlinkten post erwähnt wird, habe ich da nicht gefunden, nur eine syslog.conf, die aber nicht wirklich die form aufweist, wie sie in dem oben verlinkten post zu sehen ist. muß ich da was nachinstallieren?

2.) wie dort auch steht, kann man auch den daemon ulogd verwenden. zahlt sich das hier aus (scheint ja doch eher für aufwendigere aufgaben, z.b. logging in eine DB zu dienen) oder ist die obige lösung eher zu bevorzugen (sieht mir recht simpel aus, ein einfaches filtering)?
ich hab mir den ulogd mal installiert, nur die doku ist, gelinde gesagt, dürftig.

google spuckt leider auch nicht viel darüber aus, kann mir vllt. jemand einen tipp geben, wie ich mit ulogd mein problem lösen könnte?

3.) ich habe auf meinem system die logs auf eine eigene partition gegeben, um für den fall, daß diese überläuft, nicht das OS zu gefährden. nun würde ich gerne über einen cronjob checken lassen, ob der inhalt von var/log/ eine gewisse größe (die partition hat 12GB, ich hätte als limit 10GB angenommen) überschritten hat und in diesem fall die ältesten logs entfernen.
wie mache ich das am geschicktesten?
ich habe daweil nur den anfang des entsprechenden scripts, der das limit festlegt und die größe von /var/log/ einholt.
ich dachte weiter daran, das logfile herzunehmen und einfach zu kopieren, allerdings nicht alles, sondern nur die z.b. die letzten 80% davon, wodurch die oberen 20% verlorengehen, wenn ich danach das alte logfile lösche.

gemacht hätte ich das, in dem ich mir mit wc -l angeschaut hätte, wieviele zeilen das logfile beim "überlauf" hat um dann ein tail mit 80% dieser zeilenanzahl zu machen, dessen ergebnis in das neue logfile geschrieben wird.

meinungen dazu?

bin für jede hilfe/anregung dankbar.

10.01.2006, 05:49	#1
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	iptables-FW: logging in separates file standardmäßig loggt iptables ja in /var/log/syslog. ich möchte nun, um die FW-logs von den übrigen logs zu separieren, daß diese in ein eigenes logfile geschrieben werden. dazu habe ich bereits gegoogelt und das hier gefunden, das eigentlich ganz gut aussieht. nur hätte ich dazu noch einige fragen, von denen ich hoffe, daß sie mir jemand beantworten kann. 1.) ich verwende ubuntu. eine syslog-ng.conf, wie sie in dem verlinkten post erwähnt wird, habe ich da nicht gefunden, nur eine syslog.conf, die aber nicht wirklich die form aufweist, wie sie in dem oben verlinkten post zu sehen ist. muß ich da was nachinstallieren? 2.) wie dort auch steht, kann man auch den daemon ulogd verwenden. zahlt sich das hier aus (scheint ja doch eher für aufwendigere aufgaben, z.b. logging in eine DB zu dienen) oder ist die obige lösung eher zu bevorzugen (sieht mir recht simpel aus, ein einfaches filtering)? ich hab mir den ulogd mal installiert, nur die doku ist, gelinde gesagt, dürftig. google spuckt leider auch nicht viel darüber aus, kann mir vllt. jemand einen tipp geben, wie ich mit ulogd mein problem lösen könnte? 3.) ich habe auf meinem system die logs auf eine eigene partition gegeben, um für den fall, daß diese überläuft, nicht das OS zu gefährden. nun würde ich gerne über einen cronjob checken lassen, ob der inhalt von var/log/ eine gewisse größe (die partition hat 12GB, ich hätte als limit 10GB angenommen) überschritten hat und in diesem fall die ältesten logs entfernen. wie mache ich das am geschicktesten? ich habe daweil nur den anfang des entsprechenden scripts, der das limit festlegt und die größe von /var/log/ einholt. ich dachte weiter daran, das logfile herzunehmen und einfach zu kopieren, allerdings nicht alles, sondern nur die z.b. die letzten 80% davon, wodurch die oberen 20% verlorengehen, wenn ich danach das alte logfile lösche. gemacht hätte ich das, in dem ich mir mit wc -l angeschaut hätte, wieviele zeilen das logfile beim "überlauf" hat um dann ein tail mit 80% dieser zeilenanzahl zu machen, dessen ergebnis in das neue logfile geschrieben wird. meinungen dazu? bin für jede hilfe/anregung dankbar. ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)