To jest polecenie natlog, które można uruchomić w darmowym dostawcy usług hostingowych OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
natlog - narzędzie do logowania source-nat
STRESZCZENIE
natlog [OPCJE] komenda
OPIS
Firewalle np iptables(1) zazwyczaj oferta POSTROUT (translacja adresu sieci źródłowej,
snat) zmieniające adres źródłowy hosta za firewallem na adres
hosta przed firewallem. Z gnojek następujące kombinacje adresów IP i
napotkano numery portów:
o adres IP i numer portu używany przez hosta za zaporą sieciową (w tej instrukcji
strona tzw IPsrc, sport);
o adres IP i numer portu hosta IPsrc łączy się z (na tej stronie podręcznika
do którego odnosi się IPdst, dport);
o adres IP i numer portu używane przez hosta zapory ogniowej podczas nattingu źródłowego
IPsrc oraz sport (w tym podręczniku strona określana jako IPfw, Fwport).
Source natting zwykle używa sport dla Fwport, ale Fwport może być już w użyciu, w którym
przypadku host firewalla musi używać innego, dostępnego portu do przekazywania komunikacji
IPsrc, sport do IPdst, dport.
Ogólny schemat odnoszący się do nattingu źródłowego wygląda więc tak:
IPsrc:sport jest tłumaczone przez zaporę ogniową na IPfw:fwport;
IPfw:fwport jest używany podczas komunikacji z IPdst:dport.
Z perspektywy hosta docelowego, z którego pochodzi komunikacja IPfw::fwport
aw konsekwencji cała komunikacja (np. raport o incydencie) wysyłana przez systemy
utrzymanie administratora IPst do IPfwadministrator systemów będzie się odwoływał IPfw:fw port,
raczej niż IPsrc::sport.
Standardowe wyposażenie dziennika zapewniane przez iptables nie pozwalają nam łatwo się odnosić
IPfw:fw port do IPsrc: sport, natlog został opracowany, aby wypełnić tę konkretną niszę.
Podczas biegu natlog, wiadomości są wysyłane do demona syslog (np. rsyslogd(1)) i/lub
standardowy strumień wyjściowy przedstawiający podstawowe cechy używanego połączenia
źródło natting. Oto przykład:
NATLOG: (TCP) Od 1338990672:55588 do 1338990747:807100:
192.168.19.72:4467 (przez: 129.125.90.132:4467) do 200.49.219.180:443
W tym przykładzie wartości 1338990672:55588 oraz 1338990747:807100 reprezentują znaczniki czasu
pokazuje czas rozpoczęcia i zakończenia w sekundach: mikrosekundach połączenia TCP od 1 stycznia,
1970, 0:00 UTC. Natlog oferuje --datagodzina opcja, w wyniku której powstają reprezentacje czasu
lubić lis 2 13:29:11 zamiast reprezentacji czasu za pomocą sekund i mikrosekund.
Następna wartość (192.168.19.72:4467) reprezentuje IPsrc::sport. To jest po
129.125.90.132:4467, reprezentujący IPfw:fw port. Trzecia para wartości
(200.49.219.180:443) reprezentuje IPdst:dport.
W tym przykładzie host 192.168.19.72, używając portu 4467, podłączony do hosta 200.49.219.180,
Port 443. Wygląda na to, że z tego ostatniego hosta pochodziło połączenie
129.125.90.132 Port 4467. Dostarczony komunikat dziennika pozwala nam łatwo powiązać to z plikiem
`prawdziwy' host i port, z którego pochodziło połączenie: 192.168.19.72:4467.
Kiedy natlog kończy się natlog nie może już śledzić połączeń, które są nadal otwarte. Jeśli
natlog została rozwiązana przez A SIGTERM sygnał, następnie wysyła `końcową' linię do syslog,
a następnie przegląd wszystkich wciąż otwartych połączeń. Końcowe wartości mikrosekund
połączenia, które nie są już śledzone, są wyświetlane jako 0000.
POLECENIA
o contrack: tego polecenia można używać tylko na platformach używających iptables(1) na którym
contrack(1) również został zainstalowany. Informacje o połączeniach źródłowych
jest uzyskiwany z contrackwyjście (1). Za pomocą tego polecenia protokoły TCP, UDP i ICMP
protokoły warstwy czwartej mogą być monitorowane (domyślnie monitorowany jest protokół TCP).
Zobacz też polecenie conntrack opcja.
o urządzenie urządzenie zewnętrzne: urządzenie to nazwa urządzenia za zaporą ogniową.
Adresy mieszkające za urządzenie są powiązane ze źródłem dla adresu IP zapory
przy przekazaniu do urządzenie zewnętrzne; urządzenie zewnętrzne to nazwa urządzenia, do którego
pakiety źródłowe są przekazywane, cq skąd odpowiedzi na źródła
gospodarze żyjący za urządzenie są odbierane. Obecnie to polecenie jest tylko
dostępne do śledzenia połączeń TCP.
OPCJE
o --konfig=ścieżka konfiguracji (-c)
Argument ścieżka konfiguracji definiuje ścieżkę do pliku konfiguracyjnego, który ma być używany przez
natlog. Domyślnie oczekiwany jest plik konfiguracyjny w /etc/natlog.conf. Wszystko
opcje konfiguracyjne mają wartości domyślne, które są używane, gdy nie ma pliku konfiguracyjnego i
nie są dostępne żadne opcje wiersza poleceń.
Wszystkie opcje, z wyjątkiem konfiguracja, pomoc oraz gadatliwy można również określić w
plik konfiguracyjny. Plik konfiguracyjny ignoruje puste wiersze i wszystkie informacje
w wierszach zaczynających się od znaku krzyżyka (#). W pliku konfiguracyjnym nazwy opcji robią
nie używaj początkowych myślników i może bezpośrednio po nich następować dwukropek. Wiele słów
argumentów nie należy umieszczać w cudzysłowach. Przykłady:
stdout
funkcja syslog: LOCAL0
Opcje wiersza poleceń zastępują opcje pliku konfiguracyjnego.
o --conntrack-komenda=ścieżka [opcje]
Ścieżka i opcje do pliku contrack(1) program. Domyślnie tak jest
/usr/sbin/conntrack -p tcp -E -n -o znak czasu -e NOWY, ZNISZCZONY, w wyniku czego:
- Monitorowanie protokołu czwartej warstwy TCP;
- Wyświetlanie dzienników zdarzeń w czasie rzeczywistym (-E);
- Wyświetlanie znaczników czasu (-o znak czasu);
- Rejestrowanie wszystkich nowych i zniszczonych (zakończonych) wydarzeń (-e NOWY, ZNISZCZONY);
Protokoły do monitorowania można oddzielnie skonfigurować za pomocą pliku --protokół opcja.
contrack program musi być dostępny na żądanie natlog'S contrack dowództwo.
Protokoły warstwy czwartej inne niż TCP, UDP i ICMP nie są obecnie obsługiwane. A
można zażądać użycia podzbioru obsługiwanych protokołów conntracka -p TCP, -p udp
or -p icmp opcje.
o --conntrack-uruchom ponownie=max
Jeśli proces conntrack zakończy się przedwcześnie, zostanie co najwyżej uruchomiony ponownie max razy (te
są czyste restartuje się: początkowe uruchomienie conntrack nie jest liczone dla tej opcji). Przez
domyślnie dozwolonych jest 10 ponownych uruchomień.
o --help (-h)
Zapisz podstawowe informacje o użyciu w standardowym strumieniu wyjściowym i zakończ.
o --no-demon
Domyślnie natlog działa w tle (demon). Natlog jedzie normalnie
program (tj. na pierwszym planie, gdy opcja nie demon jest zapewniony). Gdy
biegnąc jako demon, -- stdout (patrz poniżej) jest tłumiony, i --gadatliwy wiadomości
(patrz poniżej) są wysyłane do demona sylog, chyba że --nie-syslog został określony.
o --nie-syslog
Domyślnie natlog zapisuje komunikaty syslog do DEMON Obiekt z pierwszeństwem
OGŁOSZENIE. Po określeniu tej opcji żadne komunikaty nie są wysyłane do demona dziennika systemowego.
o --plik-pid=ścieżka (-p)
Kiedy natlog działa wtedy w tle ścieżka to nazwa ścieżki do pliku
przechowuje identyfikator procesu demona. Domyślnie tak jest /run/natlog.pid. Aby zakończyć
demon, wyślij sygnał SIGTERM do identyfikatora procesu wymienionego w pliku plik pid. Natlog
ignoruje ZGŁOSZENIE sygnały (ale zapisuje komunikat dziennika, jeśli a ZGŁOSZENIE przerwać jest
Odebrane).
o --protokół=specyfikacja (-P)
Protokoły do monitorowania według contrack(1). Domyślnie polecenie conntrack monitoruje
Protokół czwartej warstwy TCP. Obecnie natlog contrack polecenie może monitorować TCP,
Protokoły czwartej warstwy UDP i ICMP. Używając protokół opcja (uwaga: liczba pojedyncza!)
dowolny podzbiór tych protokołów można wybrać, podając znak rozdzielany dwukropkami
podzbiór protokołów TCP, UDP i ICMP (np. --protokół UDP:TCP). Specyfikacja cała kolekcja mogą
być używany do monitorowania wszystkich trzech protokołów: TCP, UDP i ICMP.
Jeśli polecenie conntrack opcja jest określona, protokół opcja jest ignorowana.
o -- stdout (-s)
Komunikaty odpowiadające syslogowi są wysyłane na standardowe wyjście. Ta opcja jest dorozumiana
by --gadatliwy, ale jest tłumiony, gdy natlog działa jako demon...
o --syslog-obiekt=łatwość
Narzędzie używane do zapisywania komunikatów dziennika systemowego. Domyślnie tak jest
DEMON. Aby zapoznać się z przeglądem obiektów i ich znaczeniem, zobacz np. syslog(3).
Wraz z natlog udogodnienia DEMON, LOKALNY0, LOKALNY1, LOKALNY2, LOKALNY3, LOKALNY4, LOKALNY5,
LOKALNY6, LOCAL7, USER może być użyty.
o --syslog-priorytet=priorytet
Priorytet używany do zapisywania komunikatów dziennika systemowego. Domyślnie tak jest
OGŁOSZENIE. Aby zapoznać się z przeglądem priorytetów i ich znaczenia, zob. np. syslog(3).
Wraz z natlog można wykorzystać wszystkie zdefiniowane priorytety. Np, AWARYJNY, ALARM, KRYTYCZNY, BŁĄDZIĆ,
OSTRZEŻENIE, ZAUWAŻYĆ, INFO oraz DEBUG.
o --syslog-tag=etykieta
Podczas generowania komunikatów syslog można im dostarczyć rozszerzenie etykieta, który może być
używany do filtrowania natlogwiadomości syslog firmy z plików dziennika. Domyślnie znacznik
NATLOG Jest używane. Zobacz także sekcję RSYSLOG FILTRACJA poniżej.
o --czas=specyfikacja (-t)
Domyślnie znaczniki czasu zapisane przez natlog są w surowej, numerycznej postaci. Np,
NATLOG: od 1338990672:55588 do 1338990747:807100
Te znaczniki czasu wskazują czas w sekundach: mikrosekundach od początku
epoka, 1 stycznia 1970, 0:00 UTC. Tej opcji można użyć do zmiany sekund
część znaczników czasu do bardziej konwencjonalnych reprezentacji.
Sprecyzować surowy (domyślnie) dla domyślnej reprezentacji w sekundach od
epoka;
sprecyzować UTC na reprezentację np czerwca 6 13:29:11, używając czasu uniwersalnego
Skoordynowane;
sprecyzować miejscowy na reprezentację np czerwca 6 13:29:11, używając lokalnej strefy czasowej
zdefiniowany przez uruchomiony komputer natlog.
o --gadatliwy
Dodatkowe wiadomości dot natlogtryb pracy są wysyłane do standardu
strumień wyjściowy. Gdy natlog działa jako demon, te komunikaty są wysyłane do syslog
demon, chyba że --nie-syslog został określony.
o --wersja (-v)
Pisać natlognumer wersji do standardowego strumienia wyjściowego i zakończyć.
o --ostrzegać (-w)
Ostrzegaj o przerywaniu połączeń, które nie są jeszcze zarejestrowane natlogbaza danych. Ten
zwykle dzieje się to tylko w krótkim czasie po uruchomieniu natlog, gdy istnieje
połączenia nie zostały jeszcze zauważone.
RSYSLOG FILTRACJA
Podczas używania rsyslogd(1) filtry oparte na właściwościach mogą być używane do filtrowania komunikatów syslog i
zapisz je w wybranym przez siebie pliku. Np. aby filtrować wiadomości zaczynające się od syslog
znacznik wiadomości (np. NATLOG) posługiwać się
:syslogtag, isequal, "NATLOG:" /var/log/natlog.log
:syslogtag, isequal, zatrzymanie „NATLOG:”.
Zwróć uwagę, że dwukropek jest częścią znacznika, ale nie jest określony w znacznik syslog opcja.
Powoduje to, że wszystkie wiadomości posiadające NATLOG: etykieta do pisania /var/log/natlog.log po
których są odrzucane. Obsługiwane jest również bardziej rozbudowane filtrowanie, patrz np.
http://www.rsyslog.com/doc/rsyslog_conf_filter.html oraz
http://www.rsyslog.com/doc/property_replacer.html
PRZYKŁADY
Przykłady natlog aktywacje:
o natlog --no-demon --nie-syslog -s kanał0 eth0
Natlog pozostaje aktywny jako proces pierwszoplanowy, nie są zapisywane żadne komunikaty syslog,
odpowiednik komunikatu syslog są wypisywane na standardowe wyjście. Natlog używa pcapa
biblioteka do przechwytywania pakietów z kanał0 urządzenie (np OpenVPN(1) urządzenie), które
jest aktywny za firewallem i przechwytuje pakiety z eth0 urządzenie, które
to urządzenie, do którego wysyłane są pakiety źródłowe.
o natlog contrack
W zależności od opcji określonych w /etc/natlog.conf (lub, jeśli nie jest dostępny,
natlogdomyślne opcje) uzyskuje się połączenia ze źródłami contrack(1).
Domyślnie natlog kontynuuje jako proces demona, generując komunikaty syslog za pomocą
znaczniki sysloga NATLOG:i zawierające informacje o połączeniach źródłowych.
Oto natlogdomyślny plik konfiguracyjny. Puste linie i linie zaczynające się od
znaki krzyżyka (#) są ignorowane. Opcje są zgodne z następującą składnią:
Wartość opcji
Opcja i wartość są oddzielone spacją, dwukropek może być dodany do nazw opcji,
a wartości opcji mogą składać się z wielu słów.
# Ten plik konfiguracyjny pokazuje domyślne wartości opcji.
# we wszystkich opcjach i wartościach rozróżniana jest wielkość liter
# zobacz `man natlog' po dalsze szczegóły
# ścieżka i opcje programu conntrack:
# jeśli nie określono żadnych opcji filtrowania, tcp
# protokół jest monitorowany
# wyświetlane jest domyślne polecenie:
#conntrack-command: /usr/sbin/conntrack -p tcp -E -n -o znacznik czasu -e NOWY, ZNISZCZ"
# protokoły, które są skanowane za pomocą polecenia „conntrack”:
# protokół: all - monitoruje tcp, udp, icmp
# protokół: udp:tcp - monitoruje upd i tcp (dowolny niepusty podzbiór,
# ewentualnie włączenie icmp jest OK)
# ignorowane, gdy określono polecenie conntrack-command
#protokół: tcp
# domyślny znacznik syslog:
#syslog-tag: NATLOG
# domyślny obiekt syslog:
#syslog-facility: DAEMON
# domyślny priorytet syslog:
#syslog-priority: UWAGA
# specyfikacja czasu:
#czas: surowy
# ścieżka do pliku pid procesu demona natloga
#plik-pid: /var/natlog.pid
# koniec pliku konfiguracyjnego
Korzystaj z natlog online za pomocą usług onworks.net
