Mam tę zasadę w moich iptables:
iptables -AINPUT -s 192.168.11.0/24 -j LOG
Moje pytanie brzmi:
Gdzie jest plik dziennika iptables i jak mogę to zmienić?
48
Dzienniki te są generowane przez jądro, więc idą do pliku, który odbiera dzienniki jądra: /var/log/kern.log.
Jeśli chcesz przekierować te dzienniki do innego pliku, nie można tego zrobić za pomocą iptables. Można tego dokonać w konfiguracji programu, który wysyła dzienniki: rsyslog. W regule iptables dodaj prefiks, który nie jest używany przez żaden inny dziennik jądra:
iptables -A INPUT -s 192.168.11.0/24 -j LOG --log-prefix='[netfilter] '
Postępując zgodnie z przykładem podanym przez 20-ufw.conf, utwórz plik /etc/rsyslog.d/my_iptables.confzawierający
:msg,contains,"[netfilter] " /var/log/iptables.log
iptables.log, celem mojej odpowiedzi jest pokazanie, jak to zrobić. Możesz nie mieć,/var/log/kern.logjeśli używasz innej wersji Ubuntu (myślę, że najnowsze wersje nie używają już tego pliku i/var/log/syslogzamiast tego umieszczają dzienniki jądra ), ale to nie ma znaczenia. Och, ale jeśli używasz starszej wersji Ubuntu, może być konieczne zainstalowaniersyslogpakietu.& stoppoleceniu. W ten sposób unikniesz duplikatów wkern.logpliku, duplikatów, które mogłyby utrudnić twoją zdolność do zobaczenia innych ważnych dzienników jądra.Wiem, że jest o wiele za późno i odpowiedź jest już oznaczona jako zaakceptowana. Mam tylko trochę nowych informacji do przekazania.
Plik dziennika
LOGakcji znajduje się w/var/log/syslog(Ubuntu i podobnych systemach operacyjnych) lub/var/log/messages(CentOS i podobnych systemach operacyjnych).źródło
Jeśli masz problemy ze znalezieniem odpowiedniego pliku, możesz spróbować w następujący sposób:
Znajdzie to dowolny plik zmodyfikowany w ciągu ostatniej 1 minuty wewnątrz
/var/logi poniżej. Może się okazać, że-j LOGmoże aktualizować więcej niż tylko jeden plik.Na przykład w systemie Ubuntu 18 zarówno rejestrowanie przez filtr sieciowy , jak
/var/log/kern.logi/var/log/syslogmają na nie wpływ.źródło