J'ai cette règle dans mes iptables:
iptables -AINPUT -s 192.168.11.0/24 -j LOG
Ma question est:
Où se trouve le fichier journal iptables et comment puis-je le modifier?
Ces journaux sont générés par le noyau, alors ils vont dans le fichier qui reçoit les journaux du noyau: /var/log/kern.log
.
Si vous souhaitez rediriger ces journaux vers un autre fichier, vous ne pouvez pas utiliser iptables. Cela peut être fait dans la configuration du programme qui distribue les journaux: rsyslog. Dans la règle iptables, ajoutez un préfixe qui n'est utilisé par aucun autre journal du noyau:
iptables -A INPUT -s 192.168.11.0/24 -j LOG --log-prefix='[netfilter] '
En suivant l’exemple donné par 20-ufw.conf
, créez un fichier sous /etc/rsyslog.d/my_iptables.conf
contenant
:msg,contains,"[netfilter] " /var/log/iptables.log
iptables.log
, le but de ma réponse est de vous montrer comment le créer. Cela n’est peut-être pas le/var/log/kern.log
cas si vous utilisez une version différente d’Ubuntu (je pense que les versions récentes n’utilisent plus ce fichier et ne mettent plus les journaux du noyau à la/var/log/syslog
place), mais cela n’a pas d’importance. Oh, mais si vous utilisez une ancienne version d'Ubuntu, vous devrez peut-être installer lersyslog
paquet.& stop
commande. De cette façon, vous évitez les doublons dans lekern.log
fichier, qui pourraient vous empêcher de voir d’autres journaux importants du noyau.Je sais que c'est beaucoup trop tard et la réponse est déjà marquée comme acceptée. J'ai juste un morceau de nouvelle information à donner.
Le fichier journal de l'
LOG
action est disponible sur/var/log/syslog
(Ubuntu et systèmes d'exploitation similaires) ou/var/log/messages
(CentOS et systèmes d'exploitation similaires).la source
Si vous avez des difficultés à trouver le bon fichier, essayez comme ceci:
Ceci trouvera n'importe quel fichier modifié dans la dernière minute à l'intérieur de
/var/log
et en dessous. Vous découvrirez peut-être que la-j LOG
mise à jour peut ne pas concerner qu'un seul fichier.Par exemple, sur Ubuntu 18, la
/var/log/kern.log
et/var/log/syslog
sont impactés par la journalisation Netfilter.la source