Page 1 of 1

Logging anpassen für IPsec

Posted: August 28th, 2019, 10:19 am
by puls
Vielleicht stehe ich nur wieder auf dem Schlauch, aber ich finde keine Möglichkeit, das Logging für IPsec resp strongswan vernünftig anzupassen.
In /etc gibt es viele Konfigurationsdateien für ipsec, strongswan, charon etc aber nirgends sehe ich die aktuelle Definition des Loggers. Daher gehe ich davon aus, dass hier ganz einfach die Vorgaben der Software verwendet werden und der Rest des Systems sich auf das Standard Ausgabeformat verlässt (was auch nicht die cleverste Lösung ist, denn dieses kann sich ändern!).
Die Datei /etc/strongswan.d/charon-logging.conf bspw enthält lediglich die auskommentierten Vorgabewerte bzw Platzhalter. Einer dieser Werte ist

Code: Select all

# Prefix each log entry with the connection name and a unique
# numerical identifier for each IKE_SA.
# ike_name = no
Das ist ein enorm praktischer Hinweis, wenn man tatsächlich mal die Logfiles durchsuchen muss und diese nicht nur zur Belustigung speichert. Bisher habe ich mir immer einen Wolf gesucht wenn es Verbindungsprobleme gab, weil es sehr aufwändig (und teilw. unmöglich) ist, einen Eintrag einer bestimmten Verbindung zuzuordnen.
Doch wie aktiviere ich diese Option? Ich könnte den Bereich syslog {} der Datei aktivieren, müsste dann aber die korrekten Werte eintragen, die jetzt auch benutzt werden. Und möglicherweise mache ich dadurch trotzdem etwas kaputt, worauf sich ein anderer Teil von ipfire aber implizit verlässt.
Aktiviere ich den Bereich filelog {}, deaktiviert das wiederum die Ausgabe per Syslog. Um beides gleichzeitig loggen zu lassen, müsste ich syslog explizit wieder aktivieren, dann kann ich filelog aber auch weglassen.
Gibt es einen einfachen Weg, das Logging anzupassen ohne zu tief in das System eingreifen zu müssen? Mir geht es vor allem darum, die Updatefähigkeit zu erhalten und trotzdem Werte wie Loglevel, Präfixe etc bearbeiten zu können.