Meldungen von dmesg in log-Datei umleiten.

hakker82 · Beitrag von **hakker82** » 19.11.2005 16:44:03

Ich nutze den sysklogd. Das dürfet auf fast allen Sarge/Etch-Systemen der Standard sein. Zumindest hab ich bei mir nichts verändert.
Jetzt möchte ich gerne bestimmte Meldungen, die in durch Eingabe von dmesg auftauchen, in eine Datei umleiten.

In den Meldungen kommt firewall-in und firewall-out vor. Alles soll in die /var/log/iptables.

Weiß da jemand weiter?

pierre · Beitrag von **pierre** » 19.11.2005 19:26:20

Wie hast erzeugst du die Meldungen "firewall-in" und "firewall-out"? Ein selbstgeschriebenes Skript oder ein Programm/Daemon? Die gesamte dmesg Ausgabe findest du nochmal unter /var/log/syslog.

cheers
pierre

mistersixt · Beitrag von **mistersixt** » 21.11.2005 07:49:50

Schau mal in /etc/syslog.conf - ich meine, da sollte man sowas einstellen können.

Gruss, mistersixt.

hakker82 · Beitrag von **hakker82** » 21.11.2005 11:26:18

Vorher muss ich wahrscheinlich auf syslog-ng umstellen.

ding280 · Beitrag von **ding280** » 21.11.2005 12:44:55

Hallo,

du könntest dir auch ein Script schreiben, das du nach dem Systemstart aufrufst:

für firewall-in:

Code: Alles auswählen

dmesg | grep "firewall-in" >> datei.log

für firewall-out:

Code: Alles auswählen

dmesg | grep "firewall-out" >> datei.log

Es geht natürlich auch, dass du mit regulären Ausdrücke beide auf einmal umleitest, ich weiß nur nicht wie.
Das müsste ungefähr so aussehen:

Code: Alles auswählen

dmesg | grep "firewall-[in|out]" >> datei.log

Gruß Tom[/code]

nepos · Beitrag von **nepos** » 21.11.2005 12:51:51

syslog-ng mit entsprechender Match-Regel ist denke ich die beste Wahl. Hab ich bei mir zu Hause auch so geloest.

hakker82 · Beitrag von **hakker82** » 22.11.2005 10:51:14

Wie hast du das gelöst? Ich hab auf syslog-ng umgestellt, gentutzt hat es aber nichts, weil die Anleitungen im Netz nicht funktionieren.

nepos · Beitrag von **nepos** » 23.11.2005 09:33:24

Uff, da muesste ich zu Hause nachgucken, wie das genau war. Ist schon ein Weilchen her.
Vom Prinzip her brauchst du eine eigene Destination, sprich ein Logfile.
Dann einen Filter, der auf die Firewall-Logmeldungen matched. Und dann das ganze zusammenfuegen.
Der Filter koennte etwa so aussehen

Code: Alles auswählen

filter f_firewall { match("firewall-"); };

Dazu dann eine Datei als Ziel:

Code: Alles auswählen

destionation d_firewall_log { file("/var/log/firewall.log"); };

Und dann noch das ganze zusammenbauen:

Code: Alles auswählen

log { source(<quelle>); filter(f_firewall); destination(d_firewall_log); final; };

Alles ungetestet. Quelle musst du anpassen, das weiss ich aus dem Kopf nicht, wie die heisst. Das final bewirkt ausserdem, dass alle Messages, die auf diesen Eintrag passen nicht mehr weitere Pfade durchlaufen und damit noch in anderen Logfiles auftauchen. Kannst du aber auch weglassen, wenn du das nicht willst.

Btw, versuch mal die Doku hier: http://www.balabit.com/products/syslog_ ... book1.html

hakker82 · Beitrag von **hakker82** » 23.11.2005 10:31:19

Danke, das hat mir geholfen.

nepos · Beitrag von **nepos** » 23.11.2005 11:10:20

Freut mich, dass es geholfen hat