hello
j'essaye de bien installer ulogd pour pouvoir logger mes iptables dans par exemple du mysql,
j'aimerais savoire si quelqu'un l'a déjà fait et s'il peut me filer un coup de main ?
 
 
merci beaucoup:jap::jap:

jowile!!! j'ai réussi à le faire marcher
je logue tout par contre donc moyen mais la je le masterise!
si t'as besoin d'un coup de main dis moi!

chtit exemple à l'appui:
 

nlgroup 1
logfile /var/log/ulogd.log
loglevel 5
bufsize 65535
plugin /usr/lib/ulogd/ulogd_BASE.so
syslogfile /var/log/ulogd.syslogemu
syslogsync 1
plugin /usr/lib/ulogd/ulogd_LOGEMU.so
dumpfile /var/log/ulogd.pktlog
mysqltable ulog
mysqlpass ulogduser
mysqluser ulogduser
mysqldb ulogd
mysqlhost localhost
plugin /usr/lib/ulogd/ulogd_MYSQL.so
 
 
 
edit: viré des lignes inutiles

je pense que tu as créé tes tables mysql et que t'as donné les droits à ulogduser (c le nom que je lui ai donné)
 
pis apreès quand tu tapes ta ligne iptables t'as bien mis le nlgroup correspondant ?
moi j'ai tapé ça:
 
 
iptables -A INPUT -j ULOG --ulog-nlgroup 1
 
 
pis ca ma tout logué !!!

grillaid

alors pour ceux qui voudraient essayer:
 
 
installer ulogd avec support mysql, c partout documenté donc bonne chance, pour les chanceux sous gentoo:love:  
 
USE="mysql" emerge ulogd
 
 
créer une db dans mysql appelée ulogd:
 
create database ulogd;
 
 
ajouter un utilisateur par exemple
 
ulogduser
 
puis son password  
 
ulogduser
 
 
granter les privilèges pour la DB donnée (c à dire ulogd)
 
puis creer une table ulog dans cette DB:
(vous pouvez sélectionner, la les champs qui vous interessent en particulier)
 
CREATE TABLE `ulog` (
 `id` int(10) unsigned NOT NULL auto_increment,
 `raw_mac` varchar(80) default NULL,
 `oob_time_sec` int(10) unsigned default NULL,
 `oob_time_usec` int(10) unsigned default NULL,
 `oob_prefix` varchar(32) default NULL,
 `oob_mark` int(10) unsigned default NULL,
 `oob_in` varchar(32) default NULL,
 `oob_out` varchar(32) default NULL,
 `ip_saddr` int(10) unsigned default NULL,
 `ip_daddr` int(10) unsigned default NULL,
 `ip_protocol` tinyint(3) unsigned default NULL,
 `ip_tos` tinyint(3) unsigned default NULL,
 `ip_ttl` tinyint(3) unsigned default NULL,
 `ip_totlen` smallint(5) unsigned default NULL,
 `ip_ihl` tinyint(3) unsigned default NULL,
 `ip_csum` smallint(5) unsigned default NULL,
 `ip_id` smallint(5) unsigned default NULL,
 `ip_fragoff` smallint(5) unsigned default NULL,
 `tcp_sport` smallint(5) unsigned default NULL,
 `tcp_dport` smallint(5) unsigned default NULL,
 `tcp_seq` int(10) unsigned default NULL,
 `tcp_ackseq` int(10) unsigned default NULL,
 `tcp_window` smallint(5) unsigned default NULL,
 `tcp_urg` tinyint(4) default NULL,
 `tcp_urgp` smallint(5) unsigned default NULL,
 `tcp_ack` tinyint(4) default NULL,
 `tcp_psh` tinyint(4) default NULL,
 `tcp_rst` tinyint(4) default NULL,
 `tcp_syn` tinyint(4) default NULL,
 `tcp_fin` tinyint(4) default NULL,
 `udp_sport` smallint(5) unsigned default NULL,
 `udp_dport` smallint(5) unsigned default NULL,
 `udp_len` smallint(5) unsigned default NULL,
 `icmp_type` tinyint(3) unsigned default NULL,
 `icmp_code` tinyint(3) unsigned default NULL,
 `icmp_echoid` smallint(5) unsigned default NULL,
 `icmp_echoseq` smallint(5) unsigned default NULL,
 `icmp_gateway` int(10) unsigned default NULL,
 `icmp_fragmtu` smallint(5) unsigned default NULL,
 `pwsniff_user` varchar(30) default NULL,
 `pwsniff_pass` varchar(30) default NULL,
 `ahesp_spi` int(10) unsigned default NULL,
 UNIQUE KEY `id` (`id`),
 KEY `index_id` (`id`)
) TYPE=MyISAM;
 
 
 
 
ok je vous conseille de faire un FLUSH PRIVILEGES; dans mysql pour que les priv soient mis à jour.... puis,
 
essayez de vous connecter en tant que ulogduser à votre table et d'y insérer éventuellement des données, comme ça vous verrez si tout va bien....
 
exemplle:
 
root@kpoman log # mysql -u ulogduser -p
Enter password:  
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 70 to server version: 4.0.12-log
 
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
 
mysql> use ulogd;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
 
Database changed
mysql> insert into ulog (raw_mac) values ('pouetproutmiam';
Query OK, 1 row affected (0.00 sec)
 
mysql>    
 
 
 
ensuite éditer
 
/etc/ulogd.conf
 
moi ça donne ça:
 
nlgroup 1
logfile /var/log/ulogd.log
loglevel 5
bufsize 65535
plugin /usr/lib/ulogd/ulogd_BASE.so
syslogfile /var/log/ulogd.syslogemu
syslogsync 1
plugin /usr/lib/ulogd/ulogd_LOGEMU.so
dumpfile /var/log/ulogd.pktlog
mysqltable ulog
mysqlpass ulogduser
mysqluser ulogduser
mysqldb ulogd
mysqlhost localhost
plugin /usr/lib/ulogd/ulogd_MYSQL.so
 
 
 
puis maintenant, faire un chtit test assez violent d'ailleurs
 
iptables -A INPUT -j ULOG --ulog-nlgroup 1  
 
 
normalement ca devrait loguer tout ce qui passe en input
 
 
apreès evidemment virez ce truc paske ca va vous exploser le dur pis c parti pour savoir qui c ke méchant qui veut vous hacker !!!

hum... je vois pas trop ce que tu veux dire par préfixe ? à quel niveau ? pourquoi ?

JoWile je pense que ton probleme c que tu as la poisse, ça arrive à des gens des fois, et ya rien àa faire ça dure toute la vie

Je peux poser une bete question?  
 
 
Bon....
 
 
 
j'ai une difficulté a comprendre un truc...
 
que logguez vous?  
 
Car si on dis qu'on drop le paquet on s'en fout de logguer...
Et si on laisse ouvert... ben... c'est pour laisser ouvert non? Donc on s'en fout aussi de logguer?  
 
C'sdt peut etre un peu bete mais bon...  
 
 

yes en fait soit tu peux tout dropper, soit tu peux dropper en cherchant qui c'est qui essaye de te faire mal, et c ske tu fais quand tu loggues, mais de là à faire quelque chose apreès ... enfin bon, ca peut etre utile pour une boite par exemple, pour voir si elle se fait hacker la gueule etC... c le principe meme du log!

ok merci bcp, c'est ce que je pensais  
 
 
Je vais peut etre penser a logguer mes bazard aussi alors
 
 
 
merci

 
Je viens d'avoir le même problème sur ma Woody, j'ai compilé/packagé les sources de la version unstable de ulogd et maintenant tout marche    
 
C'est bien un bug Debian :
 
http://bugs.debian.org/cgi-bin/bug [...] bug=169481

Je viens de rencontrer le même problème. Sur le bugreport, on peut y lire, vers la fin :
 

 
Je vais essayer

Bon, j'ai téléchargé les sources de la sid (ulogd+cvs) via un apt-get source ulogd après avoir rajouté  temporairement la ligne qui va bien ds mon sources.list (deb-src ftp://ftp.nerim.net/debian unstable main contrib non-free)
 
Je suis allé ds le répertoire crée et j'ai fait un dpkg-buildpackage, mais il y a avait des problèmes de dépendances, alors j'ai fait un dpkg-buildpackage -d comme on nous le propose pour passer outre.  
 
Un petit cd .. et voila 3 beaux .deb. J'installe celui qui m'interesse via dpkg -i et ca marche super bien !
 
J'ai effacé mon ulogd.conf par celui de l'update et les logs se trouvent ds /var/log/ulog/ maintenant. Je n'ai pas eu à modifier la configuration par défaut.
 
Voilà, si ca peut aider !
 
@+

 
 
Hum.

y a pas moyen d'avoir les IP sous forme un peu plus explicite?    
 
ip_saddr:3232261374
idem pour ip_protocole: 17
 
pas très utilisable ...sans votre aide  

moi gentoo

J'ai un petit problème pour logguer dans mysql.
 
Ulog loggue correctement dans le fichier /var/log/ulog.syslogmenu mais il ne loggue rien dans mysql.
 
J'ai créé la base sql et je me suis bien assuré que l'utilisateur avait tous les droits sur la table.
 
Malgré ça, rien ne se loggue. Voilàmon fichier ulog.conf :
 

 
Quelqu'un à une idée ?