我在哪里可以找到iptables日志文件，如何更改其位置？

Question

81

我在我的iptables中有这个规则：

iptables -A INPUT -s 192.168.11.0/24 -j LOG

我的问题是：

iptables的日志文件在哪里，我如何更改它？

- pylover

4个回答

21

我知道这已经太晚了，答案已经被标记为接受的。我只是有一条新信息要提供。 LOG操作的日志文件可以在以下位置找到：Ubuntu和类似的操作系统位于/var/log/syslog，CentOS和类似的操作系统位于/var/log/messages。

- joker

13

如果你在找不到正确的文件时遇到麻烦，可以尝试以下方法：

find /var/log -mmin 1

这将找到在过去1分钟内修改的任何文件，在/var/log及其子目录下。你可能会发现-j LOG可能会更新不止一个文件。

例如，在Ubuntu 18上，/var/log/kern.log和/var/log/syslog都受到netfilter日志记录的影响。

- prosti

2我正在执行 ls /var/log/ 来查找日志文件，但直到我执行 sudo ls /var/log/ 才显示。你的回答帮了我，谢谢。 - Yacine Rouizi

你还可以使用ls命令的-t选项，将最近修改的文件显示在ls列表的顶部。例如：ls -lat /var/log。 - Jimmix

2

# 在我的电脑上！ # 我在脚本的顶部写了这个

iptables -F

iptables -X

# iptables -A INPUT -m state --state NEW -j LOG \ --log-prefix='[iptables_input] '

iptables -A OUTPUT -m state --state NEW -j LOG \ --log-prefix='[iptables_output] '

# 然后在/var/log/syslog中找到结果 # 只有当其他iptables指令没有被注册之前，LOG指令才会执行

- visitor

7欢迎来到Ask Ubuntu。一个没有任何说明和解释的脚本并不是一个好的答案。 - user68186

- Gilles 'SO- stop being evil' · Accepted Answer

这些日志是由内核生成的，因此它们会被发送到接收内核日志的文件：/var/log/kern.log。

如果您想将这些日志重定向到其他文件，那么不能通过iptables来实现。可以在分发日志的程序（rsyslog）的配置中完成。在iptables规则中，添加一个没有被任何其他内核日志使用的前缀即可。

iptables -A INPUT -s 192.168.11.0/24 -j LOG --log-prefix='[netfilter] '

按照 20-ufw.conf 的示例，创建一个文件在 /etc/rsyslog.d/00-my_iptables.conf 下，内容如下：

:msg,contains,"[netfilter] " -/var/log/iptables.log
& stop

将规则放在前面（/etc/rsyslog.d中的文件名按字典顺序使用），并添加&stop，这样日志只会发送到指定位置，而不会同时发送到默认位置。

Rsyslog必须重新启动才能使配置更改生效。