เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
3.4. บันทึก
บันทึกไฟร์วอลล์จำเป็นสำหรับการจดจำการโจมตี การแก้ไขปัญหากฎไฟร์วอลล์ และการสังเกตกิจกรรมที่ผิดปกติในเครือข่ายของคุณ อย่างไรก็ตาม คุณต้องรวมกฎการบันทึกในไฟร์วอลล์ของคุณเพื่อสร้างกฎดังกล่าว และกฎการบันทึกต้องมาก่อนกฎการยกเลิกใดๆ ที่เกี่ยวข้อง (กฎที่มีเป้าหมายที่กำหนดชะตากรรมของแพ็กเก็ต เช่น ACCEPT, DROP หรือ REJECT)
หากคุณกำลังใช้ ufw คุณสามารถเปิดการบันทึกโดยป้อนข้อมูลต่อไปนี้ในเทอร์มินัล:
sudo ufw กำลังเข้าสู่ระบบ
หากต้องการปิดการออกจากระบบใน ufw เพียงแทนที่ on สีสดสวย ปิด ในคำสั่งข้างต้น หากใช้ iptables แทน ufw ให้ป้อน:
sudo iptables -A INPUT -m state --state ใหม่ -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN:"
คำขอบนพอร์ต 80 จากเครื่องโลคัลจะสร้างบันทึกใน dmesg ที่มีลักษณะดังนี้ (บรรทัดเดียวแบ่งออกเป็น 3 เพื่อให้พอดีกับเอกสารนี้):
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
บันทึกข้างต้นจะปรากฏใน / var / log / ข้อความ, / var / log / syslogและ /var/log/kern.log. พฤติกรรมนี้สามารถแก้ไขได้โดยการแก้ไข /etc/syslog.conf อย่างเหมาะสมหรือโดยการติดตั้งและกำหนดค่า ulogd และใช้เป้าหมาย ULOG แทน LOG ulogd daemon เป็นเซิร์ฟเวอร์พื้นที่ผู้ใช้ที่รับฟังคำแนะนำการบันทึกจากเคอร์เนลสำหรับไฟร์วอลล์โดยเฉพาะ และสามารถบันทึกไปยังไฟล์ใดๆ ที่คุณต้องการ หรือแม้แต่ฐานข้อมูล PostgreSQL หรือ MySQL การทำความเข้าใจบันทึกไฟร์วอลล์ของคุณสามารถทำให้ง่ายขึ้นได้โดยใช้เครื่องมือวิเคราะห์บันทึก เช่น logwatch, fwanalog, fwlogwatch หรือ lire