我正在尝试让 pf 在 Mountain Lion 下工作。 由于苹果似乎忽略了包括pflogd,因此我们必须自己喜欢:
/sbin/ifconfig pflog0 create
/usr/sbin/tcpdump -lnettti pflog0 | /usr/bin/logger -t pf
这会将消息转储到系统中.log,但我正在尝试找到一种方法将它们整理成自己的消息。 我能够用ipfw解决这个问题,但是ipfw留下了很好的日志,例如:
Mar 5 11:34:44 flamingo kernel[0] <Debug>: ipfw: 65534 Deny ICMP:3.10 192.168.4.233 192.168.92.60 in via en0
对于pf,我得到的日志如下:
Mar 5 11:57:50 flamingo.mydomain.com pf[51938]: 00:00:00.000000 rule 1/8(ip-option): pass in on en0: 172.24.32.41 > 224.0.0.1: igmp query v2
OSXes "logger",我可以使用 -p 来设置一个工具,但随后日志悄然消失。 我找到了使用"syslog -s -k 设施"的引用,但是当我将 tcpdump 管道传输到系统日志时,进程会在几秒钟或几分钟后死亡。
我如何 A) 了解如何保持系统日志运行,或 B) 设置或预测我可以从 asl.conf 中的记录器过滤结果?
您缺少一种获取日志记录的成分。
这对我有用:
root# touch /var/log/pffirewall.log` to create the log file.
然后,将以下行添加到/etc/syslog.conf:
local2.* /var/log/pffirewall.log
现在,您的记录器进程输出将显示在/var/log/pffirewall.log 中。显然,记录器仍然与旧的系统日志设施和/etc/syslog.conf相关联。