- Lähtökohta
- Haluan katsoa käynnistyksen aikana ylöskirjattuja tapahtumia
dmesg-komennolla ja/var/log/syslog-tiedoston sisältöä lukemalla.
Olen asentanutFireHOL-palomuurinja asettanut sen käynnistymään järjestelmän käynnistymisen yhteydessä. - Ongelma
- Dmesg-komennon antama tuloste on täynnä palomuurin ylöskirjaamia tietoja pakettien välityksestä. Tuloste sisältää pelkästään seuraavan kaltaisia rivejä:
:08:00 SRC=130.234.192.48 DST=130.234.195.255 LEN=211 TOS=0x00 PREC=0x00 TTL=128 ID=63892 PROTO=UDP SPT=138 DPT=138 LEN=191Myös /var/log/syslog on täynnä samanlaisia rivejä niin, että lokin muu sisältö hukkuu kokonaan niiden sekaan.
Haluan, että palomuurin ilmoitukset kirjataan erilliseen lokitiedostoon. Jos tämä ei ole mahdollista, haluan, että palomuuri kirjaa ylös ainoastaan nykyistä rajaa tärkeämmät toimet pakettien kanssa niin, että palomuurin ilmoitukset eivät hukuta lokeissa olevaa muuta tietoa alleen. Jos tämäkään ei ole mahdollista, haluan, että palomuuri ei kirjaa lokiin mitään.
- Ongelman syy
- FireHOL käyttää lokinpitoon
syslogd:tä. - Ratkaisu
- Asennan pakettienhallinnassa
ulogd-paketin, ja asetan sen jälkeen FireHOLin käyttämäänulogd:tä lokinpidossaan.
Asetan FireHOLin käyttämään ulogd:tä avaamalla/etc/default/firehol-tiedoston muokattavaksisudo gedit /etc/default/firehol-komennolla ja lisäämällä siihen sitten seuraavan rivin:FIREHOL_LOG_MODE="ULOG"Tallennettuani muutokset tiedostoon käynnistän FireHOLin uudestaan
sudo /etc/init.d/firehol restart-komennolla. Tämän jälkeen palomuurin ilmoitukset tallentuvat/var/log/ulog/syslogemu.log-tiedostoon, eivätkä enää tallennu /var/log/syslog -tiedostoon tai dmesgin puskuriin.