在 Linux 中为防火墙日志配置特定的日志文件 [关闭]

Posted 2023-02-26

【中文标题】在 Linux 中为防火墙日志配置特定的日志文件 [关闭]

【英文标题】：Configure specific log file for firewall logs in Linux [closed]

【发布时间】：2022-01-23 13:39:34

【问题描述】：

我有一个接收 Stormshield 防火墙日志的 debian linux 服务器，我需要配置一个特定的日志文件，它们都将被写入其中

我想我必须解决 logrotate 但我不知道该怎么做。

日志如下所示：

92.168.2.253 → 10.22.5.58   Syslog 758 USER.WARNING: 1 2021-12-22T10:45:38+01:00 FW-STORMSHIELD asqd - - - \357\273\277id=firewall time="2021-12-22 10:45:38" fw="FW-STORMSHIELD" tz=+0100 startime="2021-12-22 10:45:35" pri=4 confid=01 slotlevel=2 ruleid=56 rulename="17b8311aa81_10e" srcif="Ethernet5" srcifname="DMZ-OPEN***" ipproto=tcp dstif="Ethernet0" dstifname="internet" proto=ssl src=192.168.13.153 srcport=64722 srcportname=port-tcp-sup srcname=P-WINSAV-007-alegal srcmac=00:0c:22:12:fd:82 dst=145.240.201.174 dstport=443 dstportname=https dstname=drive.google.com dstcontinent="na" dstcountry="us" modsrc=96.35.166.98 modsrcport=27922 ipv=4 action=block msg="ChangeCipherSpec trop t\303\264t" class=protocol classification=0 alarmid=312 target=dst repeat=2 l

你有什么想法吗？

感谢您的宝贵时间。

【问题讨论】：

您的问题与编程无关。 Unix 和 Linux 堆栈交换（我们的姊妹站点之一，右上角图标上的链接）可能更相关。注意：答案取决于您使用的系统日志程序。可能您正在使用 rsyslog（因此请检查 /etc/rsyslog* 文件（或名称中带有 syslog 的其他文件）

【参考方案1】：

查看此guide 以在stormshield 上启用系统日志。 启用后，由 stromshield 生成的日志消息应该“自动”写入 syslog 主 Q，它们将从那里（可能）被记录到 /var/log/syslog。