通过Syslog来log数据包

OpenBSD的安装、升级、更新等日常问题。

版主: chenjun天地乾坤

回复
chenjun
铁 Fe
帖子: 56
注册时间: 2010-08-31 17:38

通过Syslog来log数据包

帖子 chenjun » 2011-03-15 9:59

参照手册http://openbsd.gobsd.org/pf/logging.html,想实现通过Syslog来log数据包,按照手册上操作完成后,/var/log/pflog.txt文件只能更新一次,查找了一下原因,发现系统根本没有/var/run/pflogd.pid这个文件,小弟就不知道该如何设置了,此外

代码: 全选

if [ -r $PFLOG ] && [ $(stat -f %z $PFLOG) -gt 24 ]
这句看不懂,能否帮忙解释一下

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

帖子 leo » 2011-03-15 20:29

用4.8 FAQ的脚本走了一宿,发现pflog.txt的大小依旧没有变化,pflog却有变换;4.6 FAQ的使用kill, 而4.8的FAQ使用pkill, 原来中文FAQ上还没有及时更新。现在更新过来后,依旧通不过,此处两个FAQ版本有差异,但是无论我尝试哪个都没有看到往pflog.txt上写数据。晕,不会脚本,痛苦。
4.6 FAQ上的脚本

代码: 全选

#!/bin/sh
PFLOG=/var/log/pflog
FILE=/var/log/pflog5min.$(date "+%Y%m%d%H%M")
kill -ALRM $(cat /var/run/pflogd.pid)
if [ -r $PFLOG ] && [ $(stat -f %z $PFLOG) -gt 24 ]; then
   mv $PFLOG $FILE
   kill -HUP $(cat /var/run/pflogd.pid)
   tcpdump -n -e -ttt -r $FILE | logger -t pf -p local0.info
   rm $FILE
fi
4.8 FAQ上的脚本

代码: 全选

#!/bin/sh
PFLOG=/var/log/pflog
FILE=/var/log/pflog5min.$(date "+%Y%m%d%H%M")
pkill -ALRM -u root -U root -t - -x pflogd
if [ -r $PFLOG ] && [ $(stat -f %z $PFLOG) -gt 24 ]; then
   mv $PFLOG $FILE
   pkill -HUP -u root -U root -t - -x pflogd
   tcpdump -n -e -ttt -r $FILE | logger -t pf -p local0.info
   rm $FILE
fi
下载了一个《shell脚本学习指南》,http://u.115.com/file/f013351978 ,正在摸索、吸氧。

chenjun兄是用4.6的脚本通过了吗?介绍一下经验。

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

帖子 leo » 2011-03-16 5:25

刚才观察,/var/log/pflog文件确实被删除了,而且还生成了日志转储,而现在却又变化回去了,难道是shell脚本里的问题?有点莫名其妙。

几分钟前:

代码: 全选

-rw-------   1 root  wheel      0 Mar 14 23:26 pflog.txt
-rw-------   1 root  wheel   3192 Mar 15 16:18 pflog5min.201103151620

现在,转储文件又被删除了,重新生成了pflog, 看来我的理解有问题。

代码: 全选

-rw-------   1 root  wheel    420 Mar 15 16:23 pflog
-rw-------   1 root  wheel      0 Mar 14 23:26 pflog.txt

chenjun
铁 Fe
帖子: 56
注册时间: 2010-08-31 17:38

帖子 chenjun » 2011-03-16 8:34

chenjun兄是用4.6的脚本通过了吗?介绍一下经验。
leo兄你的脚本错了,在4.8的/etc/pflogrotate和4.6中的脚本一样,4.7中的/etc/pflogrotate脚本是

代码: 全选

#!/bin/sh
PFLOG=/var/log/pflog
FILE=/var/log/pflog5min.$(date "+%Y%m%d%H%M")
pkill -ALRM -u root -U root -t - -x pflogd
if [ -r $PFLOG ] && [ $(stat -f %z $PFLOG) -gt 24 ]; then
   mv $PFLOG $FILE
   pkill -HUP -u root -U root -t - -x pflogd
   tcpdump -n -e -ttt -r $FILE | logger -t pf -p local0.info
   rm $FILE
fi
我的测试平台是4.7,和手册上介绍的一样,成功实现了pflog日志转储:)
你把脚本换一下,测试下4.8看行不行

chenjun
铁 Fe
帖子: 56
注册时间: 2010-08-31 17:38

帖子 chenjun » 2011-03-16 9:07

虽然功能实现了,但是这句话还是不怎么理解

代码: 全选

if [ -r $PFLOG ] && [ $(stat -f %z $PFLOG) -gt 24 ]
如果读的懂,帮忙解析一下:)

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

帖子 leo » 2011-03-16 9:14

就是因为不懂,所以原来不敢贸然回复,现在网上找了一本shell脚本学习指南,正在研读。
咱们谁先悟出来,谁先跟帖子吧,我估计你的速度比较快,我是从未接触过。

chenjun
铁 Fe
帖子: 56
注册时间: 2010-08-31 17:38

帖子 chenjun » 2011-03-16 9:43

leo 写了:就是因为不懂,所以原来不敢贸然回复,现在网上找了一本shell脚本学习指南,正在研读。
咱们谁先悟出来,谁先跟帖子吧,我估计你的速度比较快,我是从未接触过。
其实我也什么都不懂,只会一些简单的Linux/Unix命令。有好资源,那我也研读一下啦

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

帖子 leo » 2011-03-16 10:02

http://u.115.com/file/f013351978,网盘,下不了的话,我就传咱们的服务器上。

chenjun
铁 Fe
帖子: 56
注册时间: 2010-08-31 17:38

帖子 chenjun » 2011-03-16 10:12

leo 写了:http://u.115.com/file/f013351978,网盘,下不了的话,我就传咱们的服务器上。
可以下载,这本书看起来不错,我已收入囊中了:D

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

帖子 leo » 2011-03-16 10:13

chenjun 写了:leo兄你的脚本错了,在4.8的/etc/pflogrotate和4.6中的脚本一样,4.7中的/etc/pflogrotate脚本是.....
原来的中文版没有及时更新,我昨天已经将9971.us上这部份内容修改过来了,现在和OpenBSD FAQ官网的脚本一样了。不过说实话,我昨天把这两个脚本都试过了,全不行(也许有误操作),加上你问那句命令的意思,所以才想找本shell说看看,毕竟理解了脚本的含义好一些。多谢指正。

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

帖子 leo » 2011-03-16 14:30

chenjun 写了:leo兄你的脚本错了,在4.8的/etc/pflogrotate和4.6中的脚本一样,4.7中的/etc/pflogrotate脚本是......
我有些疑惑,你现在从哪里去看4.7 FAQ的版本?官网已经更新为4.8了,难道还有地方提供4.7的FAQ浏览?再说咱们这里似乎没有出过4.7的中文FAQ啊?—— 实际上真正做过的应该只有OpenBSD 4.6 FAQ 和 OpenBSD 4.8 FAQ的中文版。:confused:

chenjun
铁 Fe
帖子: 56
注册时间: 2010-08-31 17:38

帖子 chenjun » 2011-03-16 14:42

leo 写了:我有些疑惑,你现在从哪里去看4.7 FAQ的版本?官网已经更新为4.8了,难道还有地方提供4.7的FAQ浏览?再说咱们这里似乎没有出过4.7的中文FAQ啊?—— 实际上真正做过的应该只有OpenBSD 4.6 FAQ 和 OpenBSD 4.8 FAQ的中文版。:confused:
我在官网这个地址找到的
ftp://ftp.openbsd.org/pub/OpenBSD/doc/history/我一般下载资源是从这个ftp下载的,这里有从3.2——4.7版本的obsd-faq和pf-faq都有

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

帖子 leo » 2011-03-16 14:47

chenjun 写了:我在官网这个地址找到的
ftp://ftp.openbsd.org/pub/OpenBSD/doc/history/我一般下载资源是从这个ftp下载的,这里有从3.2——4.7版本的obsd-faq和pf-faq都有
好的,多谢,还真没有注意这个目录的内容,稍后再对比一下可能就明白了。:D

回复

在线用户

正浏览此版面之用户: Ahrefs [Bot], Semrush [Bot] 和 0 访客