pflog Ausgabe seit 4.9

Reks30

Well-Known Member
Hallo Forum,

hat vielleicht noch jemand das Problem mit pf seit OpenBSD 4.9, daß das Logging irgendwie kaum Informationen bietet. Bei mir sieht die Ausgabe eines
tcpdump -ttt -n -r /var/log/pflog
zum Beispiel so aus:
May 19 22:41:46.890688 [|ip]
May 19 22:41:47.048558 [|ip]

Da fehlen ja praktisch alle Infos (Quell-IP, Ziel-IP, Portnummern, Protokoll). Das ist so seit ich auf 4.9 upgedatet habe. Normalerweise ist bei der Ausgabe von tcpdump das Kürzel [|proto] laut Manpage ein Hinweis das Informationen aufgrund der Länge der mitgeloggten Informationen fehlen, daher habe ich es schon mit dem -s Parameter sowohl für tcpdump, als auch für pflogd versucht (-s 256). Das bewirkt aber gar nichts.

Gruß
Reks30
 
Tja, immer wenn ich mich entschließe hier eine Frage zu schreiben, komme ich kurz danach selber auf die Lösung: Es liegt tatsächlich an dem Parameter -s (Snaplen). Anscheinend reicht der Standardwert von 116 seit 4.9 nicht mehr um sinnvolle Infos mitzuloggen. Der Grund warum eine erhöhung dieses Wertes bei mir zunächst keine Besserung ergab lag daran, daß pflogd bei einem bereits existierenden Logfile die Snaplen erst erhöht, wenn ein neues Logfile angelegt wird (steht so in der Manpage von pflogd).

Ich habe jetzt heraus gefunden, das ein Wert von 192 für Snaplen OK ist. Daher muß man nur in die /etc/rc.conf.local folgendes eintragen:
pflogd_flags="-s 192"
Dann pflogd neu starten:
pkill pflogd
pflogd -s 192

Danach bekommt man im Logging wieder etwas mehr Infos.

Gruß
Reks30
 
Bei meiner Neuinstallation ist sie standardmäßig auf 160 gesetzt:

~ # ps ax | grep pflog
19354 ?? Is 0:00.01 pflogd: [priv] (pflogd)
24587 ?? S 0:00.11 pflogd: [running] -s 160 -i pflog0 -f /var/log/pflog (pflogd)
5516 p3 S+ 0:00.01 grep pflog

Warum das allerdings bei einem Update anscheinend nicht hochgesetzt wird, weiss ich nicht.
 
Bei meiner Neuinstallation ist sie standardmäßig auf 160 gesetzt:

~ # ps ax | grep pflog
19354 ?? Is 0:00.01 pflogd: [priv] (pflogd)
24587 ?? S 0:00.11 pflogd: [running] -s 160 -i pflog0 -f /var/log/pflog (pflogd)
5516 p3 S+ 0:00.01 grep pflog

Warum das allerdings bei einem Update anscheinend nicht hochgesetzt wird, weiss ich nicht.

sieht bei mir nach einem upgrade genau so aus:

root 16617 0.0 0.0 584 392 ?? Is Wed10AM 0:00.04 pflogd: [priv] (pflogd)
_pflogd 5808 0.0 0.0 648 356 ?? S Wed10AM 0:02.31 pflogd: [running] -s 160 -i pflog0 -f /var/log/pflog (pflogd)

--hawky
 
Ja, sie war auch bei mir nach dem update auf 160 gesetzt (der alte default war 116) aber das wirkte sich noch nicht aus, solange das alte pflog Logfile noch nicht rotiert wurde. Wurde ein altes Logfile mit einer geringeren Snaplen angelegt, wird dieser Wert bis zum nächsten Logrotate weiter verwendet.

Da bei mir direkt nach dem Update kein neues Logfile verwendet wurde, sah dies plötzlich so komisch aus. Das muß man auch erst mal wissen.

Gruß
Reks30
 
Zurück
Oben