Atualmente, estou tentando dividir parte do meu log do IPTables de kern.log em um arquivo chamado iptables.log. Basicamente, eu tenho vários adaptadores diferentes e estou registrando solicitações para a porta 80 em cada um. Essas regras estão funcionando e saindo bem para kern.log. Aqui está um exemplo:
-A INPUT -d 192.168.100.10 -p tcp -m tcp --dport 80 -j LOG --log-prefix "[10010] REQUEST Port 80: " --log-level 7
Eu fiz o seguinte para tentar dividir o que eu quero:
iptables.conf em /etc/rsyslog.d/ com o seguinte conteúdo: :msg,contains,"[10010] REQUEST Port 80: " -/var/log/iptables.log
/etc/rsyslog.conf para conter a seguinte linha: kern.debug /var/log/iptables.log
service rsyslog restart
Apesar disso, meu material "[10010]" ainda está sendo gravado no arquivo kern.log em vez de iptables.log.
Qualquer ajuda sobre este assunto seria muito apreciada.
Finalmente consegui acesso a um sistema Linux de testes.
De repente, lembrei-me: rsyslogd escreve syslogs como o syslog user, não como root . (Verificado usando ps aux | grep [r]syslog )
Portanto, chown syslog.syslog /var/log/iptables.log deve corrigir o problema.
(Solução testada e funcionando no meu sistema)