[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Fehlkonfiguration von syslog-ng?

Gruß

Ich habe hier eine Frage zur Konfiguration des Logginsystems syslog-ng.
Der Grund, wieso ich statt dem altbewehrten syslog den syslog-ng einsetze, sind die Einträge von IP-Tables. Da ich relativ aufwändige IP-Tables Konfiguration eingerichtet habe, werden dementsprechend die Syslog Einträge öfter generiert, was allerdings zu einer "Verschmutzung" der messages und syslog Dateien aus meiner Sicht führt, da man wegen den Masseneinträgen von IP-Tables wichtige Errors übersehen kann.
Also habe ich es mir mit dem syslog-ng so eingerichtet, dass er die Einträge von IP-Tables in explizite Logfiles umleitet. Nun ja, das macht er auch. Allerdings gibt es da ein kleines Problem.
Die Einträge werden zwar gefiltert und in extra Dateien geschrieben, sie werden allerdings immer noch gleichzeitig in die messages usw. reingeschrieben. Dies war natürlich niemals die Idee, da ich nicht nur mein Ziel nicht erreicht habe, sondern jetzt auch redundant im System die IP-Tables Einträge im System liegen habe.
Meiner Meinung nach liegt es an einer Fehlkonfiguration meinerseits. Nun habe ich keine Idee, woran es liegen könnte 

Hier ist der Auszug aus der entsprechenden Syslog-ng Konfiguration:

---------------
destination d_iptables_accept { file("/var/log/iptables/iptables_accept.log"
                                owner("root")
                                group("adm")
                                perm(0640)); };

destination d_iptables_drop { file("/var/log/iptables/iptables_drop.log"
                              owner("root")
                              group("adm")
                              perm(0640)); };

destination d_iptables_reject { file("/var/log/iptables/iptables_reject.log"
                                owner("root")
                                group("adm")
                                perm(0640)); };


filter f_iptables_accept { match(".*Shorewall.*ACCEPT.*"); };
filter f_iptables_reject { match(".*Shorewall.*REJECT.*"); };
filter f_iptables_drop { match(".*Shorewall.*DROP.*"); };
log { source(s_all); filter(f_iptables_accept); destination(d_iptables_accept); }; log { source(s_all); filter(f_iptables_reject); destination(d_iptables_reject); }; log { source(s_all); filter(f_iptables_drop); destination(d_iptables_drop); }; 

---------------
Das währe nicht schlecht, wenn jemand einen Fehler finden würde. Ich habe selbst eine Zeit lang gesucht aber es ist mich nicht einleuchtend, woran es liegen könnte. 

Danke im Voraus.

MfG Andre
Reply to: