syslog-ng et iptables

syslog-ng et iptables - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 12-07-2011 à 17:14:03    

Salut a tous,
 
je suis entrain de mettre en place une gestion centralisée pour mes logs.
Pour cela j'ai installer syslog-ng sur mon serveur (qui reçoit les logs) ainsi que sur mon client (qui envoi les logs).
Mon serveur est sous Ubuntu Server 11.04, et mon client sous Ubuntu server 10.10.
Or, ça ne marche pas.
 
Voilà ce que j'ai mis coté serveur :
 
source src_lan {
udp();
};
 
destination logs_from_lan {
file("/var/log/lan.log" );
};
 
log {
source(src_lan);
destination(logs_from_lan);
};

Et Voilà ce que j'ai mis coté client :
 
source srv_local { file("/var/log/auth.log" ); };
 
destination srvlogs {
udp("172.16.3.140", port(514)); #172.16.3.140 correspond a l'ip de mon serveur de log
};
 
log {
source(srv_local);
destination(srvlogs);
};

 
Pouvez vous m'aider?
 
Sur mon serveur, aucun fichier du nom lan.log dans /var/log ne se crée.
 
Les 2 machines sont sur le meme réseau, aucun firewall entre eux.
 
Voilà les 2 fichiers de configuration que j'ai renommé en -client et -server :
 
http://cl.ly/8N1z (server)
http://cl.ly/8Nwc (client)
 
 
Merci d'avance.


Message édité par adeel-fbf le 14-07-2011 à 13:35:01
Reply

Marsh Posté le 12-07-2011 à 17:14:03   

Reply

Marsh Posté le 13-07-2011 à 15:42:55    

Re,
 
j'arrive bien a remonter mes logs sur le serveur, or j'ai un petit soucis de filtre.
 
Enfait je cherche a remonter les logs de iptables.
 
Voilà a quoi ressemble mon log iptables (j'ai copié quelques lignes) :  
 

Code :
  1. Jul 13 08:27:01 davis kernel: [2447090.462486] iptables RULE -16 -- ACCEPT IN= OUT=eth4 SRC=10.100.40.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112
  2. Jul 13 08:27:01 davis kernel: [2447090.462773] iptables RULE -16 -- ACCEPT IN= OUT=eth1 SRC=10.100.10.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112
  3. Jul 13 08:27:01 davis CRON[24335]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)
  4. Jul 13 08:27:02 davis kernel: [2447091.460677] iptables RULE -16 -- ACCEPT IN= OUT=eth3 SRC=10.100.30.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112
  5. Jul 13 08:27:02 davis kernel: [2447091.460866] iptables RULE -16 -- ACCEPT IN= OUT=eth2 SRC=10.100.20.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112


 
 
Et voilà ma conf syslog-ng :  
 

Code :
  1. destination iptables_fw {
  2.                         file("/var/log/archive/$R_YEAR-$R_MONTH-$R_DAY/firewall"
  3.                         template("$HOUR:$MIN:$SEC $HOST <$FACILITY.$PRIORITY> $MSG\n" )
  4.                         template_escape(no)
  5.                         );
  6. };
  7. filter f_iptables { match("RULE" )
  8. or match("iptables" ); };
  9. log {
  10.         source(local);
  11.         filter(f_iptables);
  12.         destination(iptables_fw);
  13. };


 
Sur mon serveur j'obtient bien le dossier que j'ai donné dans destination, et j'obtient bien le fichier "firewall"
Or dedans j'ai juste ces lignes la :  
 

Code :
  1. 14:50:01 davis <cron.info> CRON[28985]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)
  2. 14:51:01 davis <cron.info> CRON[29018]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)
  3. 14:52:01 davis <cron.info> CRON[29022]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)
  4. 14:53:01 davis <cron.info> CRON[29026]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)


 
En gros il prends que la ligne "Jul 13 08:27:01 davis CRON[24335]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)" de mon log.
 
Il ne prend pas les lignes du type :  
 
Jul 13 08:27:02 davis kernel: [2447091.460866] iptables RULE -16 -- ACCEPT IN= OUT=eth2 SRC=10.100.20.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112
 
Pouvez vous m'aider?
 
merci


Message édité par adeel-fbf le 14-07-2011 à 14:03:25
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed