我想将 iptables 消息记录在单独的日志文件中,而不是在 中/var/log/syslog。
我理解如果你想要专门记录一些东西到单独的文件,请确保在默认规则之前读取所需的系统日志规则,并将其放在& stop最后,以防止再次读取该规则(并显示在系统日志中)。配置文件的顺序按/etc/rsyslog.d字母顺序排列。
我已经命名了我的配置10-iptables.conf,因此它应该位于 之前50-default.conf。它包含:
:msg,contains,"[BLOCKED]" /var/log/iptables.log
& stop
我的 iptables 日志记录规则如下:
-j LOG --log-prefix "[BLOCKED]" -m limit --limit 3/min --limit-burst 10
我的/etc/syslogd/50-default.conf看起来像这样(Ubuntu 默认配置):
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
kern.* -/var/log/kern.log
mail.* -/var/log/mail.log
mail.err /var/log/mail.err
*.emerg :omusrmsg:*
但是,我在 syslog 和单独的文件中都看到了 iptables 消息。
似乎该& stop选项不起作用,所以也许我的理解不正确。有人知道我该如何停止将这些消息放入吗/var/log/syslog?