Crear iptables.log con rsyslog

Crear el log iptables.log
En el caso de usar Ubuntu o Centos y tengamos un sistema de logs como rsyslog, para que las trazas del log de  iptables (u otra cadena que especifiquemos de otro log que se genere) se registren en un fichero dedicado, debemos hacer lo siguiente:
1- Crear un fichero /var/log/iptables.log ( o como queramos llamarle)
$   > /var/log/iptables.log
2- Crear un fichero de configuración que le indique a rsyslog que las cadenas de log que van entrando en /var/log/syslog (se puede comprobar las trazas si no sabemos como lo escribe) las filtre si contienen determinado mensaje:
$ vim /etc/rsyslog.d/iptables.conf
:msg,contains,"IPTABLES " /var/log/iptables.log

3- Guardamos este fichero, y en caso haber en el sistema usuarios específicos para manejar los log, le damos los permisos al nuevo log /var/log/iptables.log  y a este fichero de configuración para que rsyslog pueda trabajar con ellos (otras veces dejandolo como permisos de root valdría):

$ chown syslog:adm /etc/rsyslog.d/iptables.conf /var/log/iptables.log
4- Reiniciarmos rsyslog para que coja los cambios
$ service rsyslog restart
5- Por último , haciendo alguna acción que sepamos que pueda registrar iptables, comprobar si escribe en rsyslog en /var/log/iptables.log
$ tail -f /var/log/iptables.log
Rotación de /var/log/iptables.log
Para hacer que este log no nos llene el disco duro, hacemos que rote mediante logrotate:
1- Creamos el fichero de configuración para este log:
$ vim /etc/logrotate.d/iptables
/var/log/iptables.log
{
create 0600 syslog adm
rotate 7
daily
missingok
notifempty
compress
delaycompress
}

2- guardamos y forzamos la ejecución de logrotate para comprobar que crea uno nuevo (si no está vacío claro, (notifempty) )

$ logrotate /etc/logrotate.conf -f
Anuncios

Deja un comentario...dicen que es gratis!

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s