iptablesロギングフラッディング/ var / log / messages
私はUbuntuServerを実行していますが、これはNATルーターとして設定されています。
NAT、ポート転送などを設定するために起動中に実行されるiptablesスクリプトがあります。
ボックスの無関係な問題を診断しようとしていますが、/ var/log/messages、/ var/log/syslog、および/var/log/kern.logはすべて、次のようなiptablesからのメッセージで溢れています。
Oct 21 11:25:27 skip kernel: [39380.812663] INPUT packet died: IN=eth1 OUT= MAC=00:40:63:d9:7c:5b:00:03:fa:a9:d7:4a:08:00 SRC=24.207.21.237 DST=94.192.123.123 LEN=111 TOS=0x00 PREC=0x00 TTL=54 ID=16494 PROTO=UDP SPT=48865 DPT=20663 LEN=91
Iptablesのログ出力方法を変更する方法を明確にするドキュメントが見つかりません。私が理想的に望んでいるのは、iptablesのもののどれも上記のファイルのいずれにも移動せず、代わりに/ var/log/iptablesに移動することです。
それはそのスクリプトです。ロギングを削除します。
本当にログが必要な場合(そしてログを読んでいない場合はなぜわざわざ?)、ULOGDを使用します。
Iptablesのログ出力方法を変更する方法を明確にするドキュメントが見つかりません。私が理想的に望んでいるのは、iptablesのもののどれも上記のファイルのいずれにも移動せず、代わりに/ var/log/iptablesに移動することです。
デフォルトでは、iptablesのものはkernの機能と情報の優先度でsyslogに送信されます。
より高度なsyslogに切り替えてから、パターンに基づいてフィルターを作成するか、すべてのkern.infoを/ var/log/iptablesに送信するかを選択できます。 iptablesログにiptables以外のものが含まれる場合があります。
インストールされているsyslogをまだ交換していないと仮定します。以下の差分に示されているように、変更を加えることをお勧めします。
--- syslog.conf 2008-08-29 17:40:57.000000000 -0700
+++ syslog.conf.tmp 2009-10-21 10:06:14.000000000 -0700
@@ -8,14 +8,17 @@
#
auth,authpriv.* /var/log/auth.log
-*.*;auth,authpriv.none -/var/log/syslog
+*.*;kern.!info;\
+ auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
-kern.* -/var/log/kern.log
+kern.*;kern.!info -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
+kern.info -/var/log/iptables.log
+
#
# Logging for the mail system. Split it up so that
# it is easy to write scripts to parse these files.
@@ -37,6 +40,7 @@
auth,authpriv.none;\
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warning;\
+ kern.!info;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages
Iptablesルールを編集することで、syslogに送信されるログエントリの優先度を変更したり、より高度なsyslogでフィルタリングするプレフィックスを追加したりできます。
または、前述のLapTop006のようなULOGターゲットを使用して、それを logd 、 specter などのユーザースペースデーモンに渡すこともできます。