Documentatie3.4. Logboeken
Firewalllogboeken zijn essentieel voor het herkennen van aanvallen, het oplossen van problemen met uw firewallregels en het opmerken van ongebruikelijke activiteit op uw netwerk. U moet echter logboekregistratieregels in uw firewall opnemen voordat deze kunnen worden gegenereerd, en logboekregistratieregels moeten vóór elke toepasselijke beëindigingsregel komen (een regel met een doel dat het lot van het pakket bepaalt, zoals ACCEPT, DROP of REJECT).
Als u ufw gebruikt, kunt u het loggen inschakelen door het volgende in een terminal in te voeren:
sudo ufw inloggen
Om het inloggen in ufw uit te schakelen, vervangt u eenvoudigweg on with korting in het bovenstaande commando. Als u iptables gebruikt in plaats van ufw, voert u het volgende in:
sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 \
-j LOG --log-voorvoegsel "NEW_HTTP_CONN: "
Een verzoek op poort 80 vanaf de lokale machine zou dan een login-dmesg genereren die er als volgt uitziet (enkele regel opgesplitst in 3 om in dit document te passen):
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
Het bovenstaande log verschijnt ook in / Var / log / messages, / Var / log / syslogen /var/log/kern.log. Dit gedrag kan worden gewijzigd door te bewerken /etc/syslog.conf op de juiste manier of door ulogd te installeren en te configureren en het ULOG-doel te gebruiken in plaats van LOG. De ulogd-daemon is een gebruikersruimteserver die luistert naar loginstructies van de kernel, specifiek voor firewalls, en kan inloggen op elk gewenst bestand, of zelfs op een PostgreSQL- of MySQL-database. Het begrijpen van uw firewalllogboeken kan worden vereenvoudigd door een loganalysetool te gebruiken, zoals logwatch, fwanalog, fwlogwatch of lire.