תיעוד3.4. יומנים
יומני חומת אש חיוניים לזיהוי התקפות, פתרון בעיות בחוקי חומת האש שלך והבחנת פעילות חריגה ברשת שלך. עם זאת, עליך לכלול חוקי רישום בחומת האש שלך כדי שייווצרו, וכללי רישום חייבים לבוא לפני כל כלל סיום רלוונטי (כלל עם יעד שקובע את גורל החבילה, כגון קבל, DROP או דחייה).
אם אתה משתמש ב-ufw, אתה יכול להפעיל רישום על ידי הזנת הפרטים הבאים במסוף:
sudo ufw התחברות
כדי לבטל את ההתנתקות ב-ufw, פשוט החלף on עם כבוי בפקודה לעיל. אם אתה משתמש ב-iptables במקום ufw, הזן:
sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN: "
בקשה ביציאה 80 מהמחשב המקומי, אם כן, תיצור התחבר ב-dmesg שנראה כך (שורה אחת מפוצלת ל-3 כדי להתאים למסמך זה):
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN. =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
היומן לעיל יופיע גם ב / var / log / הודעות, / var / log / syslog, ו /var/log/kern.log. ניתן לשנות התנהגות זו על ידי עריכה /etc/syslog.conf כראוי או על ידי התקנה והגדרת ulogd ושימוש ביעד ULOG במקום LOG. ה-ulogd daemon הוא שרת מרחב משתמש שמאזין להוראות רישום מהקרנל במיוחד עבור חומות אש, ויכול להיכנס לכל קובץ שתרצה, או אפילו למסד נתונים PostgreSQL או MySQL. ניתן לפשט את הבנת יומני חומת האש שלך על ידי שימוש בכלי לניתוח יומנים כגון logwatch, fwanalog, fwlogwatch או lire.