Mam tę zasadę w moich iptables:
iptables -AINPUT -s 192.168.11.0/24 -j LOG
Moje pytanie brzmi:
Gdzie jest plik dziennika iptables i jak mogę to zmienić?
Dzienniki te są generowane przez jądro, więc idą do pliku, który odbiera dzienniki jądra: /var/log/kern.log
.
Jeśli chcesz przekierować te dzienniki do innego pliku, nie można tego zrobić za pomocą iptables. Można tego dokonać w konfiguracji programu, który wysyła dzienniki: rsyslog. W regule iptables dodaj prefiks, który nie jest używany przez żaden inny dziennik jądra:
iptables -A INPUT -s 192.168.11.0/24 -j LOG --log-prefix='[netfilter] '
Postępując zgodnie z przykładem podanym przez 20-ufw.conf
, utwórz plik /etc/rsyslog.d/my_iptables.conf
zawierający
:msg,contains,"[netfilter] " /var/log/iptables.log
iptables.log
, celem mojej odpowiedzi jest pokazanie, jak to zrobić. Możesz nie mieć,/var/log/kern.log
jeśli używasz innej wersji Ubuntu (myślę, że najnowsze wersje nie używają już tego pliku i/var/log/syslog
zamiast tego umieszczają dzienniki jądra ), ale to nie ma znaczenia. Och, ale jeśli używasz starszej wersji Ubuntu, może być konieczne zainstalowaniersyslog
pakietu.& stop
poleceniu. W ten sposób unikniesz duplikatów wkern.log
pliku, duplikatów, które mogłyby utrudnić twoją zdolność do zobaczenia innych ważnych dzienników jądra.Wiem, że jest o wiele za późno i odpowiedź jest już oznaczona jako zaakceptowana. Mam tylko trochę nowych informacji do przekazania.
Plik dziennika
LOG
akcji znajduje się w/var/log/syslog
(Ubuntu i podobnych systemach operacyjnych) lub/var/log/messages
(CentOS i podobnych systemach operacyjnych).źródło
Jeśli masz problemy ze znalezieniem odpowiedniego pliku, możesz spróbować w następujący sposób:
Znajdzie to dowolny plik zmodyfikowany w ciągu ostatniej 1 minuty wewnątrz
/var/log
i poniżej. Może się okazać, że-j LOG
może aktualizować więcej niż tylko jeden plik.Na przykład w systemie Ubuntu 18 zarówno rejestrowanie przez filtr sieciowy , jak
/var/log/kern.log
i/var/log/syslog
mają na nie wpływ.źródło