Hi,
kann mir jemand von Euch sagen, wie ich es anstellen muß, daß die Kernelmeldungen, die syslogd in die diversen Log-Files schreibt, zusätzlich in die Standardeingabe eines Programms geschoben werden?
Ich möchte mir gern ein kleines Programm schreiben, daß eine Warnmeldung ausgibt, wenn
meine Firewall verdächtige Pakete abfängt.
Vielen Dank im Voraus,
Lilo
Kernelmeldungen umleiten
-
Jochen
Re: Kernelmeldungen umleiten
Nach der man-Page zu syslog.conf kannst Du Meldungen auch in ine Named Pipe (FIFO) umlenken. Dazu machst Du einen Eintrag in der Form
<pre>kern.* |/root/kernelmsg-FIFO</pre>
Dann werden alle Kernelmeldungen (egal welche Stufe, von debug bis critical) in die Named Pipe geschrieben. Erstellen kannst Du die Datei mittels
<pre>mkfifo -m 600 /root/kernelmsg-FIFO</pre>
Wenn Du dann ein Programm aus /root/kernelmsg-FIFO lesen lässt, blockiert es einfach, wenn nix zu lesen da ist, und saugt keine Rechenzeit. Allerdings würde ich das Programm recht schnell nach Start des syslogd aufrufen und dafür sorgen, dass es auch immer weiterläuft. Normale Pipes haben eine Maximalgröße, wird die überschritten, muss erst etwas herausgelesen werden, bevor wieder etwas hineingeschrieben werden kann; der Schreiber blockiert so lange. Und einen blockierten syslogd mag ich mir gar nicht vorstellen... Aber ich habe momentan keinen Plan, ob FIFOs genauso funktionieren, oder ob da nur der Plattenplatz der beschränkende Faktor ist.
Viel Spass beim Ausprobieren!
<pre>kern.* |/root/kernelmsg-FIFO</pre>
Dann werden alle Kernelmeldungen (egal welche Stufe, von debug bis critical) in die Named Pipe geschrieben. Erstellen kannst Du die Datei mittels
<pre>mkfifo -m 600 /root/kernelmsg-FIFO</pre>
Wenn Du dann ein Programm aus /root/kernelmsg-FIFO lesen lässt, blockiert es einfach, wenn nix zu lesen da ist, und saugt keine Rechenzeit. Allerdings würde ich das Programm recht schnell nach Start des syslogd aufrufen und dafür sorgen, dass es auch immer weiterläuft. Normale Pipes haben eine Maximalgröße, wird die überschritten, muss erst etwas herausgelesen werden, bevor wieder etwas hineingeschrieben werden kann; der Schreiber blockiert so lange. Und einen blockierten syslogd mag ich mir gar nicht vorstellen... Aber ich habe momentan keinen Plan, ob FIFOs genauso funktionieren, oder ob da nur der Plattenplatz der beschränkende Faktor ist.
Viel Spass beim Ausprobieren!
-
Lilo
Re: Kernelmeldungen umleiten
Danke Jochen,
jetzt funktionierts! <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Viele Grüße
Lilo
jetzt funktionierts! <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Viele Grüße
Lilo
-
ratte
Re: Kernelmeldungen umleiten
wozu programmieren?
fwlogwatch macht sowas, mailt an root und blocked invaders...
ratte
fwlogwatch macht sowas, mailt an root und blocked invaders...
ratte