sslug-teknik team mailing list archive

Thread
Date

Re: ipchains, syslog

To: sslug-teknik@xxxxxxxx
From: storner@xxxxxxxx
Date: 11 Mar 2000 08:46:59 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc.

Selvfølgelig er det muligt at lave et hack - jeg sagde bare, at det ikke
var så nemt ! Man kunne jo f.eks. udnytte, at syslog dæmonen ikke kun
kan skrive til filer, men også til en "named pipe". Så hvis man laver en
pipe som syslog logger al "kern.info" data i, så kan man have et andet
program som læser data fra denne pipe og gør hvad man nu vil med det. 

For at enable det, skal man oprette en named pipe:

   # Opret en named pipe inden syslogd starter
   mkfifo -m 664 /var/run/kerninfo.pipe

I /etc/syslog.conf skal der så stå
   kern.info       |/var/run/kerninfo.pipe

Programmet til at behandle data kunne så være noget så simpelt som et
shell-script der gør

   cat /var/run/kerninfo.pipe | \
     tee /var/log/kernelmessages | grep "Packet log" >/var/log/firewall.log

Alle kernel-messages havner i /var/log/kernelmessages, men derudover kommer
alt hvad der indeholder teksten "Packet log" ned i /var/log/firewall.log

Eller for at gøre det som der oprindelig blev spurgt om - logge med
prioritet "local1":

   cat /var/run/kerninfo.pipe | grep "Packet log" | \
   while read MSG; do \
     logger -p local1.info "$MSG"
   done 


Henrik


In <38C96FD4.7B764D6A@xxxxxxxxx> "Kristian F. Høgh" <kfh@xxxxxxxxx> writes:

>Er det "end of story"?
>Man kan *normalt* alt i Linux....
>Er det muligt at lave et hack?


>Kristian Høgh.

>storner@xxxxxxxx wrote:

>> In <38C8C2E7.967F5AF6@xxxxxxxxx> "Kristian F. Høgh" <kfh@xxxxxxxxx> writes:
>>
>> >Jeg vil gerne have at ipchains logger via local1 i stedet for
>> >kernel.info
>> >Hvor skal jeg pille? ipchains, kernel, syslog eller ?
>>
>> Det bliver svært. Alle beskeder fra kernen logges via klogd med
>> facility=kernel. "info" delen kommer fra den 'printk' kommando
>> i /usr/src/linux/net/ipv4/ip_fw.c som laver selve logningen -
>> den skriver med prioritet KERN_INFO, og det kan du selvfølgelig
>> ændre.
>>
-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."

Follow ups

Re: ipchains, syslog
From: Kristian F. Høgh, 2000-03-12

References

ipchains, syslog
From: Kristian F. Høgh, 2000-03-10
Re: ipchains, syslog
From: storner, 2000-03-10
Re: ipchains, syslog
From: Kristian F. Høgh, 2000-03-10