iptables的日志(log)由syslogd紀錄和管理。初始存放在 /var/log/messages里面。自動采取循環紀錄(rotation)的方式記錄。但是由于混在 messages中,對于管理和監視產生了不便。這里,我簡單介紹一下我的 iptables日志的管理,循環,和自動報告生成的經驗:
由于iptables是linux的內核本身的功能,由dmesg或syslogd的facility結合內核管理。iptables的日志的初始值是[warn(=4)], 需要修改 syslog.conf。
---------------------------------------------------------------
:
kern.=warn /var/log/kern-warn-log←可以自己決定文件名
---------------------------------------------------------------
這里,facility在[kern]是 priority 的[warn], 日志將被記錄在 /var/log/kern-warn-log 。
日志循環的設置方法:
在 /etc/logrotated.d/syslog 中追加以下語句:
--------------------------------------------------------------
:
/var/log/kern-warn-log {
rotate 50 剩余文件數
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2>/dev/null` 2>/dev/null || true
endscript
}
--------------------------------------------------------------
/etc/logrotate.conf的初始設置是每周一進行一次log的循環。所以每周的日志將被存在 /var/log/kern-warn-log 中,之前的舊日志將被順次存儲在 kern-warn-log.1 ----- kern-warn-log.50 中。
另外還有一種方法就是 通過iptables直接獲取日志:(一般不用)
# iptables -A INPUT -s 127.0.0.1 -p icmp -j LOG --log-prefix "iptables icmp-localhost "←保存從eth0 進入的packet紀錄
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP←廢除從eth0進入的packet紀錄
這樣一來,/var/log/kern-warn-log的內容將如下所示:
Sep 23 10:16:14 hostname kernel: iptables icmp-localhost IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=57148 SEQ=256
是啥意思?...)
