logwatch で VPN(strongswan )用の出力

CentOS で strongswan によるVPN(設定方法は こちらの記事) を運用している場合、logwatch での ログレポートでは、以下のように接続ログが Unmatched Entries として扱われます。
これを Strongswan の項目としてレポートされるようにする設定です。


--------------------- Connections (secure-log) Begin ------------------------

**Unmatched Entries**
    charon: 05[IKE] yy.yy.yy.yy is initiating a Main Mode IKE_SA: 1 Time(s)
    charon: 05[IKE] deleting IKE_SA L2TP-PSK-NAT[7] between xx.xx.xx.xx[xx.xx.xx.xx]...yy.yy.yy.yy[192.168.1.54]: 1 Time(s)
    charon: 09[IKE] yy.yy.yy.yy is initiating a Main Mode IKE_SA: 1 Time(s)
    charon: 09[IKE] CHILD_SA L2TP-PSK-NAT{6} established with SPIs ca184f34_i 57def128_o and TS xx.xx.xx.xx/32[udp/l2tp] === yy.yy.yy.yy/32[udp/l2tp]: 1 Time(s)
    charon: 09[IKE] CHILD_SA L2TP-PSK-NAT{7} established with SPIs c66a80d0_i e97a01a6_o and TS xx.xx.xx.xx/32[udp/l2tp] === yy.yy.yy.yy/32[udp/l2tp]: 1 Time(s)
    charon: 13[IKE] closing CHILD_SA L2TP-PSK-NAT{7} with SPIs c66a80d0_i (30086 bytes) e97a01a6_o (12210 bytes) and TS xx.xx.xx.xx/32[udp/l2tp] === yy.yy.yy.yy/32[udp/l2tp]: 1 Time(s)
    charon: 14[IKE] IKE_SA L2TP-PSK-NAT[6] established between xx.xx.xx.xx[xx.xx.xx.xx]...yy.yy.yy.yy[192.168.1.54]: 1 Time(s)
    charon: 14[IKE] IKE_SA L2TP-PSK-NAT[7] established between xx.xx.xx.xx[xx.xx.xx.xx]...yy.yy.yy.yy[192.168.1.54]: 1 Time(s)
    charon: 14[IKE] deleting IKE_SA L2TP-PSK-NAT[6] between xx.xx.xx.xx[xx.xx.xx.xx]...yy.yy.yy.yy[192.168.1.54]: 1 Time(s)
    charon: 15[IKE] closing CHILD_SA L2TP-PSK-NAT{6} with SPIs ca184f34_i (149821 bytes) 57def128_o (1337245 bytes) and TS xx.xx.xx.xx/32[udp/l2tp] === yy.yy.yy.yy/32[udp/l2tp]: 1 Time(s)

---------------------- Connections (secure-log) End -------------------------



設定方法


本記事の設定により、次のように logwatch でレポートされるようになります。


--------------------- Strongswan Begin ------------------------


IKE_SA Connections Initiated:
    Main Mode IKE_SA:
       yy.yy.yy.yy    9 Time(s)

IKE_SA Connections:
    L2TP-PSK-NAT:
       xx.xx.xx.xx[xx.xx.xx.xx]...yy.yy.yy.yy[192.168.1.2]
          Established   1 Time(s)
          Destroyed     1 Time(s)

       xx.xx.xx.xx[xx.xx.xx.xx]...yy.yy.yy.yy[192.168.1.54]
          Established   2 Time(s)
          Destroyed     2 Time(s)


CHILD_SA Connections:
    L2TP-PSK-NAT:
       xx.xx.xx.xx/32[udp/l2tp] === yy.yy.yy.yy/32[udp/l2tp]
          Established   3 Time(s)
          Destroyed     3 Time(s)
          Data In       60.537K
          Data Out      72.614K


---------------------- Strongswan End -------------------------


以下、設定方法です。

次のようにしてファイルをコピーします。


cp /etc/logwatch/scripts/services/secure /etc/logwatch/scripts/services/secure_custom


次のファイルで、緑色の行を追加します。

/etc/logwatch/scripts/services/secure_custom

   if (( $ThisLine =~ /pam_succeed_if(\([a-zA-Z]*:[a-zA-Z]*\))?: requirement \"uid (<|>)=? (5|10)00?\" (was|not) met by user /) or
      ( $ThisLine =~ /charon/ ) or
      ( $ThisLine =~ /pam_rhosts_auth\[\d+\]: allowed to [^ ]+ as \w+/) or


次の内容のファイルを作成します。
2020.10.15 修正
$secure_ip_lookup の $ が抜けていました

/etc/logwatch/conf/services/secure_custom.conf

Title = "Connections (secure-log)"
LogFile = secure
$secure_ip_lookup = No
$ignore_services = sshd Pluto stunnel proftpd saslauthd imapd postfix/smtpd


次の行を追加します。

/etc/logwatch/conf/logwatch.conf

Service = "-secure"



2020.10.15 追記

次を実行します。strongswan 用の設定ファイル・スクリプトがコピーされます。


wget https://github.com/jbeker/logwatch-strongswan/archive/master.zip
unzip master.zip
cd logwatch-strongswan-master/
cp -a logwatch/* /etc/logwatch/

2020.10.15 追記 ここまで

これで設定できました。

確認するには、以下コマンドを実行してください。
メール送付と同じ内容が、画面に表示されます。
ここで、Strongswan の項目としてレポートされているか確認してください。


logwatch --print

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント