我有几个带有 iptables 日志记录规则和默认 rsyslog 配置的日志代理。Rsyslog 将日志发送到中央服务器。
Iptables 规则:
iptables -A INPUT -j LOG --log-prefix "INPUT:DROP:" --log-level 6
现在日志消息如下所示:
Aug 6 14:38:08 localhost kernel: INPUT:DROP:IN=eth0 OUT= MAC=52:54:00:26:10:60: SRC=10.0.2.2 DST=10.0.2.15 LEN=76 TOS=0x00 PREC=0x00 TTL=64 ID=22131 PROTO=TCP SPT=53998 DPT=22 WINDOW=65535 RES=0x00 ACK PSH URGP=0
如何将日志代理 IP 地址和日志代理 MAC 地址附加到每条日志消息?代理上出现流量,其中 dst != 日志代理 IP。
答案1
在安装 iptables 规则时就知道需要添加到日志消息中的信息了?那么为什么不把它添加到选项中呢--log-prefix?例如:
ip_=192.0.2.1
mac_=`cat /sys/class/net/eth0/address`
iptables -A INPUT -j LOG --log-prefix "${ip_?}:${mac_?}:INPUT:DROP:" --log-level 6