<Trước | Nội dung | Tiếp theo>

3.4. Nhật ký

Nhật ký tường lửa rất cần thiết để nhận biết các cuộc tấn công, khắc phục sự cố các quy tắc tường lửa và nhận thấy hoạt động bất thường trên mạng của bạn. Tuy nhiên, bạn phải bao gồm các quy tắc ghi nhật ký trong tường lửa của mình để chúng được tạo ra và các quy tắc ghi nhật ký phải có trước bất kỳ quy tắc kết thúc áp dụng nào (quy tắc có mục tiêu quyết định số phận của gói, chẳng hạn như CHẤP NHẬN, DROP hoặc TỪ CHỐI).

Nếu bạn đang sử dụng ufw, bạn có thể bật ghi nhật ký bằng cách nhập thông tin sau vào một thiết bị đầu cuối:

sudo ufw đăng nhập

Để tắt đăng nhập ufw, chỉ cần thay thế on với off trong lệnh trên. Nếu sử dụng iptables thay vì ufw, hãy nhập:

sudo iptables -A INPUT -m state --state MỚI -p tcp --dport 80 \

-j LOG - tiền tố nhật ký "NEW_HTTP_CONN:"

Khi đó, một yêu cầu trên cổng 80 từ máy cục bộ sẽ tạo ra một nhật ký dmesg trông giống như sau (một dòng chia thành 3 để phù hợp với tài liệu này):

[4304885.870000] NEW_HTTP_CONN: IN = lo OUT = MAC = 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 08 SRC = 00 DST = 127.0.0.1 LEN = 127.0.0.1 TOS = 60x0 PREC = 00x0 TTL = 00 ID = 64 DF PROTO = TCP SPT = 58288 DPT = 53981 WINDOW = 80 RES = 32767x0 SYN URGP = 00

Nhật ký trên cũng sẽ xuất hiện trong / var / log / messages, / var / log / syslogvà /var/log/kern.log. Hành vi này có thể được sửa đổi bằng cách chỉnh sửa /etc/syslog.conf một cách thích hợp hoặc bằng cách cài đặt và cấu hình ulogd và sử dụng đích ULOG thay vì LOG. Daemon ulogd là một máy chủ không gian người dùng lắng nghe hướng dẫn ghi nhật ký từ hạt nhân dành riêng cho tường lửa và có thể đăng nhập vào bất kỳ tệp nào bạn thích hoặc thậm chí vào cơ sở dữ liệu PostgreSQL hoặc MySQL. Việc hiểu rõ nhật ký tường lửa của bạn có thể được đơn giản hóa bằng cách sử dụng công cụ phân tích nhật ký như logwatch, fwanalog, fwlogwatch hoặc lire.

<Trước | Nội dung | Tiếp theo>