Dokumentasi<Sebelumnya | Konten | Selanjutnya>
3.4. Log
Log firewall sangat penting untuk mengenali serangan, memecahkan masalah aturan firewall Anda, dan melihat aktivitas yang tidak biasa di jaringan Anda. Anda harus menyertakan aturan logging di firewall Anda agar aturan tersebut dibuat, dan aturan logging harus ada sebelum aturan penghentian yang berlaku (aturan dengan target yang menentukan nasib paket, seperti ACCEPT, DROP, atau REJECT).
Jika Anda menggunakan ufw, Anda dapat mengaktifkan logging dengan memasukkan yang berikut ini di terminal:
sudo ufw masuk
Untuk mematikan log in ufw, cukup ganti on dengan lepas dalam perintah di atas. Jika menggunakan iptables alih-alih ufw, masukkan:
sudo iptables -A INPUT -m state --state BARU -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN: "
Permintaan pada port 80 dari mesin lokal, kemudian, akan menghasilkan log in dmesg yang terlihat seperti ini (baris tunggal dibagi menjadi 3 agar sesuai dengan dokumen ini):
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
Log di atas juga akan muncul di / var / log / messages, / var / log / syslog, dan /var/log/kern.log. Perilaku ini dapat dimodifikasi dengan mengedit /etc/syslog.conf dengan tepat atau dengan menginstal dan mengkonfigurasi ulogd dan menggunakan target ULOG sebagai ganti LOG. Daemon ulogd adalah server userspace yang mendengarkan instruksi logging dari kernel khusus untuk firewall, dan dapat login ke file apapun yang Anda suka, atau bahkan ke database PostgreSQL atau MySQL. Memahami log firewall Anda dapat disederhanakan dengan menggunakan alat analisis log seperti logwatch, fwanalog, fwlogwatch, atau lire.