Linux下防火墻iptables的日志管理
添加時(shí)間:2017-9-24 19:58:24
添加:
思海網(wǎng)絡(luò)
iptables的日志(log)由syslogd紀(jì)錄和管理。初始存放在
/var/log/messages里面。自動(dòng)采取循環(huán)紀(jì)錄(rotation)的方式記錄。但是由于混在
messages中,對(duì)于管理和監(jiān)視產(chǎn)生了不便。這里,我簡(jiǎn)單介紹一下我的
iptables日志的管理,循環(huán),和自動(dòng)報(bào)告生成的經(jīng)驗(yàn):
由于iptables是linux的內(nèi)核本身的功能,由dmesg或syslogd的facility結(jié)合內(nèi)核管理。iptables的日志的初始值是[warn(=4)], 需要修改 syslog.conf。
---------------------------------------------------------------
:
kern.=warn /var/log/kern-warn-log←可以自己決定文件名
---------------------------------------------------------------
這里,facility在[kern]是 priority 的[warn], 日志將被記錄在 /var/log/kern-warn-log 。
日志循環(huán)的設(shè)置方法:
在 /etc/logrotated.d/syslog 中追加以下語(yǔ)句:
--------------------------------------------------------------
:
/var/log/kern-warn-log {
rotate 50 剩余文件數(shù)
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2>/dev/null` 2>/dev/null || true
end
}
--------------------------------------------------------------
/etc/logrotate.conf的初始設(shè)置是每周一進(jìn)行一次log的循環(huán)。所以每周的日志將被存在 /var/log/kern-warn-log 中,之前的舊日志將被順次存儲(chǔ)在 kern-warn-log.1 ----- kern-warn-log.50 中。
另外還有一種方法就是 通過(guò)iptables直接獲取日志:(一般不用)
# iptables -A INPUT -s 127.0.0.1 -p icmp -j LOG --log-prefix "iptables icmp-localhost "←保存從eth0 進(jìn)入的packet紀(jì)錄
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP←廢除從eth0進(jìn)入的packet紀(jì)錄
這樣一來(lái),/var/log/kern-warn-log的內(nèi)容將如下所示:
由于iptables是linux的內(nèi)核本身的功能,由dmesg或syslogd的facility結(jié)合內(nèi)核管理。iptables的日志的初始值是[warn(=4)], 需要修改 syslog.conf。
---------------------------------------------------------------
:
kern.=warn /var/log/kern-warn-log←可以自己決定文件名
---------------------------------------------------------------
這里,facility在[kern]是 priority 的[warn], 日志將被記錄在 /var/log/kern-warn-log 。
日志循環(huán)的設(shè)置方法:
在 /etc/logrotated.d/syslog 中追加以下語(yǔ)句:
--------------------------------------------------------------
:
/var/log/kern-warn-log {
rotate 50 剩余文件數(shù)
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2>/dev/null` 2>/dev/null || true
end
}
--------------------------------------------------------------
/etc/logrotate.conf的初始設(shè)置是每周一進(jìn)行一次log的循環(huán)。所以每周的日志將被存在 /var/log/kern-warn-log 中,之前的舊日志將被順次存儲(chǔ)在 kern-warn-log.1 ----- kern-warn-log.50 中。
另外還有一種方法就是 通過(guò)iptables直接獲取日志:(一般不用)
# iptables -A INPUT -s 127.0.0.1 -p icmp -j LOG --log-prefix "iptables icmp-localhost "←保存從eth0 進(jìn)入的packet紀(jì)錄
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP←廢除從eth0進(jìn)入的packet紀(jì)錄
這樣一來(lái),/var/log/kern-warn-log的內(nèi)容將如下所示:
Sep 23 10:16:14 hostname kernel: iptables icmp-localhost IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=57148 SEQ=256
關(guān)鍵字:Linux、防火墻、iptables、日志管理
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶(hù)
- 如何解決centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗(yàn)證詳解
- CentOS 7.1添加刪除用戶(hù)的方法
- CentOS查找/掃描局域網(wǎng)打印機(jī)IP講解
- CentOS7使用hostapd實(shí)現(xiàn)無(wú)AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯(cuò)
- 解決Centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解