Пишем логи iptables (CSF) в отдельный лог файл

По умолчанию информация о событиях  iptables (блокировка пакетов) пишется в системные лог файлы. При варианте использования CSF/LFD таких записей в журналах получается довольно много. И зачастую они дублируются, что затрудняет анализ и поиск информации по другим событиям. Конечно можно логирование отключить в настройках /etc/csf/csf.conf или же настроить rsyslog писать все подобные сообщения в отдельный файл. Ниже приводится пример настройки rsyslog'а для ведения отдельного журнала.

Создаем файл /etc/rsyslog.d/iptables.conf со следующим содержанием:

:msg, startswith, "Firewall: " /var/log/iptables.log
& ~

или же

:msg, contains, "Firewall: " /var/log/iptables.log
& ~

перезапускаем сервис:

/etc/init.d/rsyslog restart

Убеждаемся, что rsyslog создал файл /var/log/iptables.log и пишет в него данные. 

Настраиваем ротацию, для чего в /etc/logrotate.d/syslog добавляем наш путь до журнала: /var/log/iptables.log. Так конечный вариант должен выглядеть примерно следующим образом (может отличаться в зависимости от используемого дистрибутива ОС):

/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
/var/log/iptables.log
{
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}

Удачи!