como utilizar o syslogd.conf

bandlinux · 14-02-2005, 10:24

bom dia!!!
gostaria de usar o log no firewall com o arquivo syslogd.conf, para gerenciar em tempo real as conexoes e I/O..
Obrigado pela ajuda!!!!

**Brenno** · 14-02-2005, 19:00

vou te passa uma regra q eu uso pra monitorar as portas mais usadas, como ssh.

ele joga as informacoes pro arquivo syslog em /var/log

uso na chain input

iptables -t filter -A INPUT -p tcp -m tcp --dport 22 --syn -j LOG --log-prefix "FIREWALL:SSH"

qualquer pessoa q tente acessa o seu ssh sera logado...

espero ter ajudado, t+

bandlinux · 15-02-2005, 20:18

Muito Obrigado pela ajuda!!!
Mas gostaria também de saber como deixo o mesmo gerando sempre em todas as portas, e em todas as interfaces!!!!

rovani · 19-02-2005, 11:17

Eu coloco no final do meu script o seguinte:

$IPTABLES -A INPUT -i $INTRA -p tcp -j LOG --log-prefix "Servico tcp: "
$IPTABLES -A INPUT -i $INTRA -p udp -j LOG --log-prefix "Servico udp: "

onde $INTRA é a interface (eth0,...) que você quer monitorar.

Então tudo o que não estiver liberado, vai logar. Com poucas modificações você conseguirar o resultado esperado.

Rovani

whinston · 19-02-2005, 14:19

voltando ao original da pergunta, alguém sabe como separar os logs do firewall gerado pelo prefix do /var/log/messages e jogar num /var/log/firewall por exemplo ?

bandlinux · 20-02-2005, 11:07

Valeu por todas as respostas!!!!!
Obrigado

athalimar · 19-04-2005, 09:53

Amigo, aproveitando a deixa. Como faço essa regra para ipchains?

Grato

Postado originalmente por Brenno

vou te passa uma regra q eu uso pra monitorar as portas mais usadas, como ssh.

ele joga as informacoes pro arquivo syslog em /var/log

uso na chain input

iptables -t filter -A INPUT -p tcp -m tcp --dport 22 --syn -j LOG --log-prefix "FIREWALL:SSH"

qualquer pessoa q tente acessa o seu ssh sera logado...

espero ter ajudado, t+

**Skorpyon** · 20-04-2005, 15:27

Postado originalmente por bandlinux

Muito Obrigado pela ajuda!!!
Mas gostaria também de saber como deixo o mesmo gerando sempre em todas as portas, e em todas as interfaces!!!!

iptables -A INPUT -j LOG --log-prefix "Firewall"

isso ira gerar o log de tentativas de acesso em todas portas, protocolos e interfaces.

**1c3m4n** · 20-04-2005, 15:30

Postado originalmente por whinston

voltando ao original da pergunta, alguém sabe como separar os logs do firewall gerado pelo prefix do /var/log/messages e jogar num /var/log/firewall por exemplo ?

utilize a opcao --log-level na regra, ai vc altera o syslog pra gravar num arquivo separado, nao lembro de cabeca oq eh cada level, mas soh dar um man syslog.conf q ele mostra

por exemplo suponha q o level 1 seja warning

ai onde tem os warning no syslog.conf vc joga num arquivo separado

mais um detalhe MUITO IMPORTANTE, UTILIZAR LOG NO FIREWALL SEM opcao --limit ou PIOR AINDA, logando tudo q entra ou sai é pedir pra tomar um DoS na cabeça...........

imagine algum fdp fazendo 500 requisicoes por segundo no teu server? logo logo o log do fw vai lotar teu disco, suma maquina vai parar, sem contar na memoria q vai estourar de tanto ficar analisando tudo

como utilizar o syslogd.conf

Ferramentas de Tópicos