dokumentasi<Sebelum | Contents [show] | Seterusnya>
3.4. Log
Log tembok api adalah penting untuk mengenali serangan, menyelesaikan masalah peraturan tembok api anda dan melihat aktiviti luar biasa pada rangkaian anda. Anda mesti memasukkan peraturan pengelogan dalam tembok api anda untuk dijana, dan peraturan pengelogan mesti didahulukan sebelum mana-mana peraturan penamatan yang berkenaan (peraturan dengan sasaran yang menentukan nasib paket, seperti ACCEPT, DROP, atau REJECT).
Jika anda menggunakan ufw, anda boleh menghidupkan pengelogan dengan memasukkan yang berikut dalam terminal:
sudo ufw log masuk
Untuk mematikan log masuk ufw, cuma ganti on bersama off dalam arahan di atas. Jika menggunakan iptables dan bukannya ufw, masukkan:
sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN: "
Permintaan pada port 80 daripada mesin tempatan, kemudian, akan menghasilkan log masuk dmesg yang kelihatan seperti ini (baris tunggal dipecahkan kepada 3 untuk memuatkan dokumen ini):
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
Log di atas juga akan muncul dalam / var / log / mesej, / var / log / syslog, dan /var/log/kern.log. Tingkah laku ini boleh diubah suai dengan menyunting /etc/syslog.conf dengan sewajarnya atau dengan memasang dan mengkonfigurasi ulogd dan menggunakan sasaran ULOG dan bukannya LOG. Daemon ulogd ialah pelayan ruang pengguna yang mendengar arahan pengelogan daripada kernel khusus untuk tembok api, dan boleh log ke mana-mana fail yang anda suka, malah ke pangkalan data PostgreSQL atau MySQL. Memahami log tembok api anda boleh dipermudahkan dengan menggunakan alat analisis log seperti logwatch, fwanalog, fwlogwatch atau lire.