Où puis-je trouver le fichier journal iptables et comment puis-je changer son emplacement?
J'ai cette règle dans mes iptables:
iptables -AINPUT -s 192.168.11.0/24 -j LOG
Ma question est:
Où se trouve le fichier journal iptables et comment puis-je le modifier?
Ces journaux sont générés par le noyau. Ils sont donc insérés dans le fichier contenant les journaux du noyau: /var/log/kern.log.
Si vous souhaitez rediriger ces journaux vers un autre fichier, vous ne pouvez pas utiliser iptables. Cela peut être fait dans la configuration du programme qui distribue les journaux: rsyslog. Dans la règle iptables, ajoutez un préfixe qui n'est utilisé par aucun autre journal du noyau:
iptables -A INPUT -s 192.168.11.0/24 -j LOG --log-prefix='[netfilter] '
En suivant l'exemple donné par 20-ufw.conf, créez un fichier sous /etc/rsyslog.d/my_iptables.conf contenant
:msg,contains,"[netfilter] " /var/log/iptables.log
Je sais que c'est beaucoup trop tard et la réponse est déjà marquée comme acceptée. J'ai juste un morceau de nouvelle information à donner.
Le fichier journal de l'action LOG se trouve dans /var/log/syslog (systèmes d'exploitation Ubuntu et similaires) ou /var/log/messages (CentOS et systèmes d'exploitation similaires).
Si vous avez des difficultés à trouver le bon fichier, essayez comme ceci:
find /var/log -mmin 1
Cela trouvera tout fichier modifié au cours de la dernière minute dans le /var/log et au-dessous. Vous découvrirez peut-être que le -j LOG peut mettre à jour plus d'un fichier.
Par exemple, sur Ubuntu 18, les codes /var/log/kern.log et /var/log/syslog sont affectés par la journalisation Netfilter.