ドキュメント3.4.ログ
ファイアウォール ログは、攻撃の認識、ファイアウォール ルールのトラブルシューティング、ネットワーク上の異常なアクティビティの検出に不可欠です。 ただし、ロギング ルールを生成するには、ファイアウォールにロギング ルールを含める必要があります。また、ロギング ルールは、該当する終了ルール (ACCEPT、DROP、REJECT など、パケットの運命を決定するターゲットを持つルール) よりも前に配置する必要があります。
ufw を使用している場合は、ターミナルに次のように入力してログ記録をオンにできます。
sudo ufw ログオン
ufw でログをオフにするには、次のように置き換えます。 on OFF 上記のコマンドで。 ufw の代わりに iptables を使用する場合は、次のように入力します。
sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN: "
ローカル マシンからポート 80 でリクエストを行うと、次のようなログが dmesg に生成されます (この文書に合わせて 3 行を XNUMX つに分割しています)。
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
上記のログは次の場所にも表示されます。 / var / log / messages, / var / log / syslog, /var/log/kern.log。 この動作は編集することで変更できます /etc/syslog.conf 適切に、または ulogd をインストールして構成し、LOG の代わりに ULOG ターゲットを使用します。 ulogd デーモンは、ファイアウォール専用のカーネルからのログ記録命令をリッスンするユーザー空間サーバーであり、任意のファイル、さらには PostgreSQL や MySQL データベースにログを記録できます。 logwatch、fwanalog、fwlogwatch、lire などのログ分析ツールを使用すると、ファイアウォール ログの理解が簡略化されます。