文件记录3.4. 日志
防火墙日志对于识别攻击、排除防火墙规则故障以及注意网络上的异常活动至关重要。 但是,您必须在防火墙中包含日志规则才能生成它们,并且日志规则必须出现在任何适用的终止规则(具有决定数据包命运的目标的规则,例如 ACCEPT、DROP 或 REJECT)之前。
如果您使用的是 ufw,则可以通过在终端中输入以下内容来打开日志记录:
sudo ufw 登录
要在 ufw 中关闭注销,只需替换 on - 折扣 在上面的命令中。 如果使用 iptables 而不是 ufw,请输入:
sudo iptables -A 输入 -m 状态 --state NEW -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN: "
然后,来自本地计算机的端口 80 上的请求将在 dmesg 中生成如下所示的日志(将单行拆分为 3 行以适合此文档):
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 L =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
上面的日志也会出现在 / var / log /消息, 在/ var / log / syslog的和 /var/log/kern.log. 可以通过编辑修改此行为 /etc/syslog.conf 适当地或通过安装和配置 ulogd 并使用 ULOG 目标而不是 LOG。 ulogd 守护进程是一个用户空间服务器,它专门为防火墙侦听来自内核的日志记录指令,并且可以记录到您喜欢的任何文件,甚至是 PostgreSQL 或 MySQL 数据库。 使用日志分析工具(例如 logwatch、fwanalog、fwlogwatch 或 lire)可以简化理解防火墙日志的过程。