デビアンな生活

iptablesでいろいろ制限していると、ログを残しておく必要に迫られる。解析のときだけ、tsharkを走らせるのもありだが、やはり調べたいときにすぐ見たいので残しておきたい。
ULOGとulogdを組み合わせるやり方もあるようだが、いまの延長でやるべく、/etc/rsyslog.confを編集してみた。
ルールの最初に以下のプロパティフィルタを挿入する。

:msg,contains,"iptlog-warn" /var/log/iptables.warn"
:msg,contains,"iptlog-" /var/log/iptables.log"
:msg,contains,"iptlog-" ~

あとは、iptablesのLOGのprefixに対応するキーワードをつけておけばOK

iptables -A FORWARD -j LOG --log-prefix "iptlog-warn"
iptables -A INPUT -j LOG --log-prefix "iptlog-allow"

その他のログで邪魔にならないように、キーワードを含むログをファイルに出力後は削除しているので、その他のLOGのprefixにキーワードが含まれないよう注意が必要です。
iptables.logは巨大になるので、もう少し、こまめにprefixで分けたり、/etc/logrotate.d/rsyslogを編集して、ログローテートの設定をしておく必要がある。