Logs [RESOLVIDO]

SPH
(usa Debian)

Enviado em 18/03/2012 - 10:00h

Bom dia pessoal do VOL.
Seguinte estou com um problema assim: Alterei meu script de firewall para logar algumas conexões.
Até aí tudo certo. Esta fazendo os logs normalmente, mas o estranho é o seguinteos logs estão indo para 3 arquivos estufando muito a pasta /var/log. Como faço para direcionar os logs do firewall para um unico arquivo? Hoje está gravando em /var/log/messages, /var/log/syslog e /var/log/kern.log. Pelo que andei pesquisando o correto seria os logs ficarem somente no /var/log/kern.log. Vi uma dica acho que aqui mesmo no VOL que criava um arquivo para os logs do iptables mas não funcionou.


Se alguém puder dar uma dica sobre o que fazer ficaria agradecido. de momento tive que desabilitar os logs até a solução desse probleminha.

Att Eberson Muenchen

eritonalmeida
(usa Debian)

Enviado em 18/03/2012 - 10:51h

Isso é ajustado no arquivo de configuração do syslog.
Geralmente /etc/rsyslog.conf

SPH
(usa Debian)

Enviado em 19/03/2012 - 11:05h

Segue o arquivo indicado pelo amigo, lembrando que mexi nele mas não deu certo.
Se possivel da uma olhadinha e me indica o caminho.

# /etc/rsyslog.conf Configuration file for rsyslog.
#
# For more information see
# /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html


#################
#### MODULES ####
#################

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog # provides kernel logging support (previously done by rklogd)
#$ModLoad immark # provides --MARK-- message capability

# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf


###############
#### RULES ####
###############

#
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
kern.warn -/var/log/iptables.log

#
# Logging for the mail system. Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err

#
# Logging for INN news system.
#
news.crit /var/log/news/news.crit
news.err /var/log/news/news.err
news.notice -/var/log/news/news.notice

#
# Some "catch-all" log files.
#
*.=debug;\
auth,authpriv.none;\
news.none;mail.none -/var/log/debug
*.=info;*.=notice;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg *

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
# news.=crit;news.=err;news.=notice;\
# *.=debug;*.=info;\
# *.=notice;*.=warn /dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility. To use it,
# you must invoke `xconsole' with the `-file' option:
#
# $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
# busy site..
#
daemon.*;mail.*;\
news.err;\
*.=debug;*.=info;\
*.=notice;*.=warn |/dev/xconsole

Com a modificação que eu fiz só criei mais um arquivo que fica enchendo o /var.

Agradeço a atenção.

Eberson Muenchen

SPH
(usa Debian)

Enviado em 20/03/2012 - 08:35h

IPTABLES -A END_INT_2_EXT -j LOG --log-level info --log-prefix "FIREWALL::INT_2_EXT! "
O level é info.

Grato pela ajuda man.

Eberson Muenchen

SPH
(usa Debian)

Enviado em 20/03/2012 - 09:17h

Só com essa dica do level que eu não tinha parado pra ver isso já consegui resolver.

Grato pela dica.

Att Eberson Muenchen