• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

pflog0 auf pflog1 spiegeln bzw. Logfile duplizieren?

Themenstarter #1
Gibt es eine Möglichkeit das pseudo-interface pflog0 auf pflog1 zu spiegeln?

Bzw. ein Logfile nach /var/log/pflog und das andere nach /home/pflog zu leiten?
 
Zuletzt bearbeitet:
#2
Ohne es genau zu wissen oder nachvollzogen zu haben, sollte man es mit einer bridge machen können. Man nimmt pflog0 und z.B. ein tap-Interface als Member. Das tap-Interface konfiguriert man als span-port. Damit sollte der gesamte Verkehr von pflog0 auf dem tap-Interface ankommen.

Siehe Manpages zu ifconfig, tap, bridge, brctl.

Rob
 
Themenstarter #4
Das Starten von mehreren pflogd mit den Outputs ist nicht das Problem. Problem ist die pf.conf in der zum Bsp. die Block nur in pflog0 oder pflog1 auftauchen. Je nachdem ob was eingestellt ist - bei Default wird pflog0 bedient, sage ich log (to pflog1) wird halt pflog1 bedient.

Ich möchte den gleichen geloggten Traffic auf beiden pflog's.

Habe schon versucht zw. den beiden pseudo-interfaces eine Bridge zu bauen aber das funktioniert nicht bzw.

Problem ist, dass ich in per pf.conf nicht zusätzlich umleiten kann, da ja immer last- bzw. first-match(mit quick) ist.

Vielleicht geht es mit spamlogd, ich weiß aber nicht wie!?
 

TCM

Well-Known Member
#6
Beschreib mal nicht, was du tust, sondern was du vorhast.

Erst wolltest du (auch) ein Logfile duplizieren. Nach dem Hinweis, wie das geht, ist das auf einmal nicht richtig.
 
Themenstarter #7
@TCM

Ich will ja immer noch duplizieren...entweder das Logfile oder das pflog-device oder eine andere Lösung...aber es muss der gleiche Output herauskommen!

Falls du meinst, dass ich es mit den 2 nachfolgenden Befehlen machen soll, stand ich leider auf dem Schlauch - diese Variante habe ich noch nicht probiert:

pflogd -i pflog0 -f /var/log/pflog
pflogd -i pflog0 -f /home/pflog