Überlaufendes Logfile

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
k-pl
Beiträge: 587
Registriert: 11.01.2002 11:26:44
Wohnort: München
Kontaktdaten:

Überlaufendes Logfile

Beitrag von k-pl » 19.04.2002 08:46:46

Ich nutze meine Firewall nun schon einige Zeit. Bisher hat das mit dem Logfile perfekt funkioniert. Doch gestern hat einer einen Portscan auf diesen Rechner gemacht und dadurch ist natürlich das Logfile ziemlich voll geworden, obwohl ich schon folgende Zeilen in meinem Script habe:

Code: Alles auswählen

iptables -A OUTPUT -j LOG -m limit --limit 5/minute --log-prefix "OUTPUT_DROP: " --log-level warn
iptables -A INPUT -j LOG -m limit --limit 5/minute --log-prefix "INPUT_DROP: " --log-level warn
Davor werden auch schon viele Pakete ohne LOg gedroppt. Wie kann ich es nun realisieren, dass mein Script solche Portscans erkennt und Gegenmaßnahmen ergreift?

Die DROP-Meldungen kommen ja in das Syslog. Gibt es schon einen fertigen Parser, der mir das Syslog durchschaut und alle Firewallmeldungen in ein extra logfile abspeichert?
Nach oben
Benutzeravatar
snowcrash
Beiträge: 168
Registriert: 28.01.2002 17:17:51

Beitrag von snowcrash » 19.04.2002 21:53:42

Kann man nicht in der syslog.conf irgendwie einstellen, dass er alle warn - Meldungen in ne eigene Datei schreibt?
Oder sind nicht auch 2 oder 3 "Alarmstufen" zu freien Belegung verfügbar? -> die dann in ne Datei schreiben?
Ich glaube mich dunkel daran zu erinnern...müsst ich jetzt genauer nachschauen, is aber leider grad nicht möglich. :cry:
Nach oben
k-pl
Beiträge: 587
Registriert: 11.01.2002 11:26:44
Wohnort: München
Kontaktdaten:

Beitrag von k-pl » 22.04.2002 10:57:56

snowcrash hat geschrieben:Kann man nicht in der syslog.conf irgendwie einstellen, dass er alle warn - Meldungen in ne eigene Datei schreibt?
Das habe ich jetzt gemacht. Funkioniert super.
snowcrash hat geschrieben: Oder sind nicht auch 2 oder 3 "Alarmstufen" zu freien Belegung verfügbar? -> die dann in ne Datei schreiben?
Ich glaube mich dunkel daran zu erinnern...müsst ich jetzt genauer nachschauen, is aber leider grad nicht möglich.
Bisher habe ich leider nichts gefunden. Weißt Du noch ungefähr, wo Du diese Info her hast?
Nach oben
Benutzeravatar
groshert
Beiträge: 49
Registriert: 09.04.2002 17:01:31
Wohnort: Esslingen
Kontaktdaten:

Beitrag von groshert » 22.04.2002 16:11:01

Hallo k-pl,

was ich zum "sortieren" von Firewall Logs schon genommen habe ist "syslog-ng"
(http://www.balabit.hu/en/products/syslog-ng/). Das ist ein Syslogd der ein paar mehr
Features hat, z.B. kann man mit Regular Expressions je nach Text die Meldungen in
unterschiedliche Dateien schreiben.

Wenn Du dann mit "--log-prefix ..." unterschiedliche Prefixe benutzt, landen die dann
in unterschiedlichen Dateien...

Cheers,
Kai
Nach oben
Antworten

Zurück zu „Internetrouter und Proxies“