Re: Iptables para de gerar log ao limpar syslog

To: dup <debian-user-portuguese@lists.debian.org>
Subject: Re: Iptables para de gerar log ao limpar syslog
From: Miguel Da Silva - Centro de Matemática <mdasilva@fing.edu.uy>
Date: Wed, 29 Oct 2008 16:34:12 -0200
Message-id: <[🔎] 4908ACA4.4030205@fing.edu.uy>
Reply-to: mdasilva@cmat.edu.uy
In-reply-to: <4908B899.9010606@yahoo.com.br>
References: <[🔎] 490890E8.1080508@gmail.com> <[🔎] 4908A20D.80300@yahoo.com.br> <[🔎] 4908A4A9.3000600@fing.edu.uy> <4908B899.9010606@yahoo.com.br>

Allison Vollmann escribió:

Miguel Da Silva - Centro de Matemática escreveu:
Allison Vollmann escribió:
O ideal seria você criar uma nova entrada no syslog para um arquivoseparado, e registrar toda a ativadade através dele. O logrotate fazo restante que é *rotacionar* o log, da para configurar para elerotacionar os logs diariamente ele vai criar os arquivos .0 .1 .2 etambém tem a opção de compactá-los com o gzip.
A[]'s

Daniel escreveu:
Boa tarde pessoal tudo bem???
Eu gero log pelo iptables de tudo que entra, sai ou sofre NAT daminha rede no meu servidor NAT/FIREWALL.Resolvi então criar um script para separar esse log todo dia meianoite, limpar o syslog e fazer um tar.gz do log gerado.O script funciona na boa, o problema é que quando ele é executado, oiptables para de gerar log. Os demais programas (dhcp, squid, etc)continuam gerando o log normalmente no mesmo arquivo (syslog), mas oiptables para.Tento reiniciar o syslogd, o iptables, rodo as regras novamente, masnada. Só quando reinicio o servidor, tudo volta ao normal.
Aguém sabe o que pode ser??

Segue meu script de limpeza e separação do log abaixo para analise.

obrigado e abraço a todos


#!/bin/bash

# DEFININDO VARIAVEIS
DATA=`date +%d-%m-%Y-%H.%M`
DELETADOS_NAT=`find /var/log/nat -ctime +30`
DELETADOS_SEGURANCA=`find /var/log/seguranca -ctime +30`
SEGURANCA_DIR="/var/log/seguranca"
NAT_DIR="/var/log/nat"

echo -n " "
echo "GERANDO LOG DE SAIDA DIARIO"


touch $SEGURANCA_DIR/log.saida.$DATA
grep "SAIDA-eth0-BLOQUEADA" /var/log/syslog >$SEGURANCA_DIR/log.saida.$DATA
cd $SEGURANCA_DIR
tar zcf log.saida.$DATA.tar.gz log.saida.$DATA
rm -f $SEGURANCA_DIR/log.saida.$DATA
grep -v "SAIDA-eth0-BLOQUEADA" /var/log/syslog > /var/log/syslog.tmp
mv -f /var/log/syslog.tmp /var/log/syslog


echo "...LOG DE SAIDA DIARIO GERADO"

echo -n " "
echo "GERANDO LOG DE ENTRADA DIARIO"


touch $SEGURANCA_DIR/log.entrada.$DATA
grep "ENTRADA-eth0-BLOQUEADA" /var/log/syslog >$SEGURANCA_DIR/log.entrada.$DATA
cd $SEGURANCA_DIR
tar zcf log.entrada.$DATA.tar.gz log.entrada.$DATA
rm -f $SEGURANCA_DIR/log.entrada.$DATA
grep -v "ENTRADA-eth0-BLOQUEADA" /var/log/syslog > /var/log/syslog.tmp
mv -f /var/log/syslog.tmp /var/log/syslog
echo "...LOG DE ENTRADA DIARIO GERADO"


echo -n " "
echo "GERANDO LOG DE NAT DIARIO"


touch $NAT_DIR/log.nat.$DATA
grep "...NAT..." /var/log/syslog > $NAT_DIR/log.nat.$DATA
cd $NAT_DIR
tar zcf log.nat.$DATA.tar.gz log.nat.$DATA
rm -f $NAT_DIR/log.nat.$DATA
grep -v "...NAT..." /var/log/syslog > /var/log/syslog.tmp
mv -f /var/log/syslog.tmp /var/log/syslog

# REMOVENDO ARQUIVOS MAIS ANTIGOS QUE 30 DIAS
rm -rf $DELETADOS_SEGURANCA
rm -rf $DELETADOS_NAT
O que acontece é que para que isso funcione, o serviço que será logadodeve usar alguma "facility" do syslog. Ou dito de outra maneira, oserviço em questão deve estar preparado para logar através do syslog.
Por outro lado, um problema que vejo no script mencionado é o fato deque o arquivo /var/log/syslog está sendo re-escrito quando o script éexecutado. Então, isso parece fazer com que o iptables perca o "fio dameada" e não saiba mais aonde escrever os logs. Outro detalhe, usandoum ">" no script para redirecionar o fluxo trunca o arquivo/var/log/syslog que já está aberto.
O que faço no router do trabalho é usar o ex/vim para apagar as linhasque correspondem ao iptables:
for j in 1 2 3 4 5 6
do
  (echo "g/${string[j]}/d"; echo 'wq') | ex -s ${archivos[2]}
done
Na linha acima, string[j] e archivo[2] são vetores e correspondem aosarquivos que processo e os padrão que são usados para encontrar aslinhas que deverão ser apagadas.
Até.
Não precisa usar mais do que o sistema já oferece, pode até usar asentradas já existentes, ou até pode criar uma nova entrada no syslogd eguardar somente os logs do iptables lá, ao invés de utilizar odirecionamento de saida, você pode usar o "logger" que irá encaminharpara o syslogd, o resto você deixa com ele e o logrotate.
para mais detalhes:
# man logger

A[]'s


Responda para a lista.

Pode servir para mim e para outros também.

Até.
--
Miguel Da Silva
Administrador Junior de Sistemas Unix
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy

Reply to:

References:
- Iptables para de gerar log ao limpar syslog
  - From: Daniel <dpicon@gmail.com>
- Re: Iptables para de gerar log ao limpar syslog
  - From: Allison Vollmann <allisonvoll@yahoo.com.br>
- Re: Iptables para de gerar log ao limpar syslog
  - From: Miguel Da Silva - Centro de Matemática <mdasilva@fing.edu.uy>

Prev by Date: Re: reserva de banda
Next by Date: Re: Idéia servidor DHCP
Previous by thread: Re: Iptables para de gerar log ao limpar syslog
Next by thread: Duvida basica sobre mapemento em servidores com SAMBA
Index(es):
- Date
- Thread