Dokumentation3.4. Protokolle
Firewall-Protokolle sind wichtig, um Angriffe zu erkennen, Fehler in Ihren Firewall-Regeln zu beheben und ungewöhnliche Aktivitäten in Ihrem Netzwerk zu erkennen. Allerdings müssen Sie Protokollierungsregeln in Ihre Firewall einschließen, damit sie generiert werden, und Protokollierungsregeln müssen vor allen anwendbaren Abschlussregeln stehen (eine Regel mit einem Ziel, das über das Schicksal des Pakets entscheidet, z. B. ACCEPT, DROP oder REJECT).
Wenn Sie ufw verwenden, können Sie die Protokollierung aktivieren, indem Sie Folgendes in ein Terminal eingeben:
sudo ufw anmelden
Um die Anmeldung in UFW zu deaktivieren, ersetzen Sie einfach on mit WOW! im obigen Befehl. Wenn Sie iptables anstelle von ufw verwenden, geben Sie Folgendes ein:
sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 \
-j LOG --log-prefix „NEW_HTTP_CONN:“
Eine Anfrage an Port 80 vom lokalen Computer würde dann ein Protokoll in dmesg generieren, das wie folgt aussieht (eine einzelne Zeile, die in drei Teile geteilt ist, um in dieses Dokument zu passen):
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
Das obige Protokoll wird ebenfalls angezeigt / var / log / Nachrichten, / var / log / syslog und /var/log/kern.log. Dieses Verhalten kann durch Bearbeiten geändert werden /etc/syslog.conf entsprechend oder indem Sie ulogd installieren und konfigurieren und das ULOG-Ziel anstelle von LOG verwenden. Der ulogd-Daemon ist ein Userspace-Server, der auf Protokollierungsanweisungen vom Kernel speziell für Firewalls lauscht und sich in jede beliebige Datei oder sogar in eine PostgreSQL- oder MySQL-Datenbank einloggen kann. Die Auswertung Ihrer Firewall-Protokolle kann durch die Verwendung eines Protokollanalysetools wie Logwatch, Fwanalog, Fwlogwatch oder Lire vereinfacht werden.