Documentation<Précédent | Table des matières | Suivant>
3.4. Journaux
Les journaux de pare-feu sont essentiels pour reconnaître les attaques, dépanner vos règles de pare-feu et détecter une activité inhabituelle sur votre réseau. Cependant, vous devez inclure des règles de journalisation dans votre pare-feu pour qu'elles soient générées, et les règles de journalisation doivent précéder toute règle de terminaison applicable (une règle avec une cible qui décide du sort du paquet, telle que ACCEPT, DROP ou REJECT).
Si vous utilisez ufw, vous pouvez activer la journalisation en saisissant ce qui suit dans un terminal :
sudo ufw connexion
Pour désactiver la déconnexion dans ufw, remplacez simplement on avec de rabais dans la commande ci-dessus. Si vous utilisez iptables au lieu de ufw, saisissez :
sudo iptables -A ENTRÉE -m état --état NOUVEAU -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN: "
Une requête sur le port 80 de la machine locale générerait alors un journal dans dmesg qui ressemble à ceci (une seule ligne divisée en 3 pour s'adapter à ce document) :
[4304885.870000] NEW_HTTP_CONN : IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
Le journal ci-dessus apparaîtra également dans / var / log / messages, / var / log / sysloget /var/log/kern.log. Ce comportement peut être modifié en éditant /etc/syslog.conf de manière appropriée ou en installant et en configurant ulogd et en utilisant la cible ULOG au lieu de LOG. Le démon ulogd est un serveur d'espace utilisateur qui écoute les instructions de journalisation du noyau spécifiquement pour les pare-feu et peut se connecter à n'importe quel fichier de votre choix, ou même à une base de données PostgreSQL ou MySQL. La compréhension des journaux de votre pare-feu peut être simplifiée en utilisant un outil d'analyse de journaux tel que logwatch, fwanalog, fwlogwatch ou lire.