Собсно, сабж.
Если мы внутри LXC-контейнера попробуем определить правило iptables типа
iptables -A OUTPUT -m бла-бла-бла -j LOG
то получим хрен с маслом, а не логи. Потому что йадро одно на всех и потрогать его изнутри так просто не дадут.
Решение:
- Устанавливаем пакетик "ulogd2".
- Вместо "-j LOG" используем "-j NFLOG".
Готовые логи искать в "/var/log/ulog/syslogemu.log".
Забавно ещё, что после перехода Debian на nftables перестала работать команда "iptables -Z". Похоже, для неё не написали wrapper-а.
P.S. Я не по своей воле начал LXC-контейнеры ковырять. Честно-честно. Меня заставили.
P.P.S. А ту самую InnoDB я таки при помощи кувалды и какой-то там матери частично восстановил. Благо, структура была заранее известна. 93 таблицы из 101 прочлись. Ожидаемо гавкнулись те, в которые шла запись в момент отключения питания. Но заказчик, вроде, и этому остался рад.