Digamos que tengo la siguiente entrada de registro de iptables
a syslog
:
Nov 3 12:04:12 mypc kernel: [ 296.274134] Packet: IN=enp0s9 OUT=enp0s8 MAC=08:00:27:2f:77:23:08:00:27:86:42:0e:08:00 SRC=192.168.2.20 DST=192.168.1.11 LEN=284 TOS=0x00 PREC=0x00 TTL=63 ID=61089 DF PROTO=TCP SPT=80 DPT=1335 WINDOW=32160 RES=0x00 ACK PSH URGP=0
Donde " Packet:
" es mi prefijo de registro personalizado definido como iptables
regla:... -j LOG --log-prefix "Packet: "
La pregunta: ¿se IN=enp0s9 <...> ACK PSH URGP=0
puede modificar (me refiero a toda la cadena)? ¿O es todo el "Mensaje" que no puede ser deconstruido?
En resumen, quiero que la entrada se vea así:
Nov 3 12:04:12 Packet: SRC=192.168.2.20 DST=192.168.1.11 LEN=284
Sin otra información. Y quiero hacer esto como plantilla personalizada para syslog. ¿Es posible? Desafortunadamente no está claro en la documentación de Syslog
%TIMESTAMP%
antes%msg
funcionó bien para mí.