Iptables y sus registros
¿ Harto de que los registros del cortafuegos inutilicen por completo el sistema de registro de eventos del sistema ? ¿ Sí ? Yo también, y a sugerencia de mi compañero Angel he implementado un mecanismo alternativo para librarme de ellos y dejar en el resto la ... substancia.
Eso si, dado que mi cortafuegos se define y configura mediante Shorewall voy a centrarme en la receta para él.
ulogd
Una vez instalado éste paquete se obtiene, si el kernel tiene soporte para
ello, un canal específico para el registro de mensajes. Eso sí, su
configuración ya está completamente separada de sysklogd y syslog-ng, por lo que nada de lo que hagamos en ellos afectará a
Shorewall.
Para configurarlo tenemos que indicar, en el archivo /etc/ulogd.conf, los
parámetros de la emulación syslog:
syslogfile /var/log/ulog/syslog.log
syslogsync 1
y asegurarnos de que existe un archivo de rotación para él similar al siguiente:
1 /var/log/ulog/*.log { 2 missingok 3 sharedscripts 4 postrotate 5 /etc/init.d/ulogd reload 6 endscript 7 }
Shorewall
En este caso tenemos que cambiar todos los niveles de registro (normalmente INFO) a ULOG (todo en mayúsculas).
La documentación nos propone la siguiente receta para encontrarlas, a la que añado el fragmento info:
# cd /etc/shorewall
# grep -v ^\# * | egrep '\$LOG|ULOG|LOGFILE|info'
- Se cambian todas las referencias de la expresión regular por el término ULOG.
- Nos aseguramos de que la variable
LOGFILEen el archivo/etc/shorewall/shorewall.confapunta al nuevo archivo/var/log/ulog/syslog.log. - Ponemos en marcha
ulogdó nos aseguramos de que ya lo esté. - Reiniciamos
Shorewall.
Y eso es todo; ahora los registros que genera iptables van al nuevo archivo, y podemos ayudarnos del paquete syslog-summary para echarle un vistazo por encima a los registros, puesto que agrupa y contabiliza las líneas idénticas.
Enlaces
- Documentación de
shorewall (aplicable a la
versión 3.0 ó posterior), para el resto es mejor ver
/usr/share/doc/shorewall-doc/html/index.htmlque incluye el paquete shorewall-doc.