iptables -ログの採取
-- 概要 --------
iptables で DROP した接続のログをファイルに落とす。
iptables でログ採取の設定が可能。
ただし,デフォルトでは /var/log/messages に書き込むみたい。
messages がややこしくなるので,iptables のログは別のファイルに落とすようにする。
iptables 用のログファイルは,とりあえず /var/log/iptables 。
で,このファイルに書き込む設定は /etc/syslog.conf で。
-- 手順 --------
1./sbin/iptables でログ採取の設定。
2./etc/syslog.conf でログの書き込み場所の指定。
※messages に書き込まないようにも設定する。
3.書き込むログファイルの作成。
4.syslog デーモンの再起動。
-- 詳細 --------
1./sbin/iptables でログ採取の設定。
DROP 設定の直前に書き込む。
# /sbin/iptables -A INPUT -i [インターフェース名] -s [拒否したいIP] -j LOG
※必ず DROP とワンセットで直前に書き込むこと。
2./etc/syslog.conf でログの書き込み場所の指定。
/etc/syslog.conf に,次の2行を追加。
# iptables log
*kern.debug /var/log/iptables
※この時,同時に messages への書き込みをしないように設定する。
/etc/syslog.conf 内で,次の行を探す。
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
これに次のように文字を追加
*.info;mail.none;news.none;authpriv.none;cron.none;kern.none /var/log/messages
3.書き込むログファイルの作成。
# touch /var/log/iptables
でログファイルを生成。
# chmod 600 /var/log/iptables
でroot のみが書き込めるようにする。
4.syslog デーモンの再起動。
syslog.conf の設定を反映するために syslog デーモンを再起動。
# /etc/init.d/syslog restart
----------------