PF+pflog: Zeit im log und rule number?

[asg]

Moin,

stehe gerade etwas auf dem Schlauch. Ich muss die pflog durchforsten und dabei wäre eine Zeitangabe der einzelnen Einträge nicht schlecht. Kann man also ein Datum+Uhrzeit nicht angezeigt bekommen?

Oder, die Angabe von beispielsweise "rule 9/0" ist schön, wie kann ich nun aber erfahren welche rule sich hinter der nummer 9 verbirgt?

Mir scheint der Zahnarzt bis ins Hirn gebohrt zu haben, finde einfach nichts zu den obigen Fragen.

 

[asg]

Ahh -tttt fürs Datum....

 

[bsdooby]

rtfm... ;-)

ok, ok:
1) tcpdump -e -vvv -ttt -i pflog0

Aber die Rules musst du halt selber abzählen...(pipen und counten etc.)
2) pfctl -s rules

Auch gut:
http://www.aei.ca/~pmatulis/pub/obsd_pf.html

 

[asg]

@bsdobby
rtfm? Selber :-P

Man muss schon -tttt angeben um das Datum/Zeit zu bekommen ;-)

Aber die Rules selbst zu zählen, das stinkt (imho dann nicht brauchbar). Das soll das System machen ;-)

 

[bsdooby]

Was hast du denn für ein OS? Für OpenBSD 3.5 reichen 3 ts:

Aug 11 13:52:56.242517 rule 60/0(match): ...

Isjaegal

aber wenn du den Output via pfctl -s rules > /tmp/rules.txt umleitest
und dann im vi per ":60" zur 60sten Rule springst ist das doch schnell?

Wenn interaktiv keine Wahl, dann die entsprechenden Tools (muss ja
nicht gerade Perl sein. Ruby tut's auch *g* resp. sed/awk).