iptables的日志(log)由syslogd纪录和管理。初始存放在/var/log/messages里面。自动采取循环纪录(rotation)的方式记录。但是由于混在messages中,对于管理和监视产生了不便。这里,我简单介绍一下我的iptables日志的管理,循环,和自动报告生成的经验:
由于iptables是linux的内核本身的功能,由dmesg或syslogd的facility结合内核管理。iptables的日志的初始值是[warn(=4)],需要修改syslog.conf。
---------------------------------------------------------------
:
kern.=warn/var/log/kern-warn-log←可以自己决定文件名
---------------------------------------------------------------
这里,facility在[kern]是priority的[warn],日志将被记录在/var/log/kern-warn-log。
日志循环的设置方法:
在/etc/logrotated.d/syslog中追加以下语句:
--------------------------------------------------------------
:
/var/log/kern-warn-log{
rotate50剩余文件数
postrotate
/bin/kill-HUP`cat/var/run/syslogd.pid2>/dev/null`2>/dev/null||true
endscript
}
--------------------------------------------------------------
/etc/logrotate.conf的初始设置是每周一进行一次log的循环。所以每周的日志将被存在/var/log/kern-warn-log中,之前的旧日志将被顺次存储在kern-warn-log.1-----kern-warn-log.50中。
另外还有一种方法就是通过iptables直接获取日志:(一般不用)
#iptables-AINPUT-s127.0.0.1-picmp-jLOG--log-prefix"iptablesicmp-localhost"←保存从eth0进入的packet纪录
#iptables-AINPUT-s127.0.0.1-picmp-jDROP←废除从eth0进入的packet纪录
这样一来,/var/log/kern-warn-log的内容将如下所示:
Sep2310:16:14hostnamekernel:iptablesicmp-localhostIN=loOUT=MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00SRC=127.0.0.1DST=127.0.0.1LEN=84TOS=0x00PREC=0x00TTL=64ID=0DFPROTO=ICMPTYPE=8CODE=0ID=57148SEQ=256