我在 Linux 设备上设置了 IPTables 规则。我有一个特定的规则来丢弃数据包,并且我希望仅在数据包被该特定规则而不是其他规则丢弃时才记录它们。
因此不会写入系统日志。
答案1
您可以在设置时使用rsyslog并设置此特定规则的自定义。--log-prefix这将允许您设置rsyslog规则,将具有此自定义前缀的任何消息路由到单独的日志文件。
本教程的标题为:更改 IPTables 日志文件,显示了确切的方法。一般来说,您将像这样设置 iptables 规则:
$ sudo iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: "
然后创建相应的rsyslog规则来记录带有此前缀的消息:
# /etc/rsyslog.d/10-iptables.conf
:msg, contains, "iptables: " -/var/log/iptables.log
& ~