|
|
51CTO旗下网站
|
|
移动端

1.7 iptables 日志分析(2)

《UNIX/Linux网络日志分析与流量监控》第1章网络日志获取与分析,本章将介绍如何获取并分析各类系统的日志。学习好本章内容,将为后续章节的案例分析打下良好的基础。本节为大家介绍iptables 日志分析。

作者:李晨光来源:机械工业出版社|2014-11-26 18:39

1.7 iptables 日志分析(2)

为了方便地对日志进行分析,可加上适当的记录日志前缀,即在iptables 中使用LOG 选项,通过LOG 选项打开匹配数据包的内核记录功能。LOG 选项的子选项--log-prefix 用来给记录信息添加一个消息前缀,这个前缀可设置多达29 个字符。添加前缀的目的只是为了更好地辨别记录信息,比如更容易用grep 这种工具过滤出匹配的记录信息。下面举个例子。

在Linux 服务器中输入下面的命令:

接下来查看iptables.log 日志文件中加HACKERS 前缀的日志,当然你也可以换成别的内容。

参数“-j LOG”用于设定日志、级别,利用syslog 把特殊级别的信息放入指定日志文件。初始存放在/var/log/messages 里面,由于存放在messages 中,对日志分析造成了不便。这里简单介绍一个iptables 日志的管理、循环和自动报告生成的实例。

几乎所有的Linux 发生版都安装了iptables,由dmesg 或syslogd 的facility 结合内核管理。iptables 的日志的初始值是[warn(=4)],若需要修改这个初始值就要编辑syslog.conf。

/etc/logrotate.conf 的初始设置是每周进行一次日志循环。所以每周的日志将被存在/var/log/iptables.log 中,以前的日志将被顺次存储在iptables-log.1~iptables-log.50 中。

另一种方法就是通过iptables 直接获取日志,操作如下:

  1. # iptables -A INPUT -s 127.0.0.1 -p icmp -j LOG --log-prefix "iptables icmp-localhost "  
  2. \\*保存从eth0 进入的packet 记录;  
  3. # iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP  
  4. \\*废除从eth0 进入的packet 记录; 

经过上面两条命令操作之后/var/log/ iptables-log.1 的内容将如下所示:

  1. Sep 23 10:16:14 hostname kernel: iptables icmp-localhost IN=lo OUTMAC=00:00:00:00:00:00:00:00:  
  2. 00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF  
  3. PROTO=ICMP TYPE=8 CODE=0 ID=57148 SEQ=256 

上面这种方法比较麻烦。ulog 工具可使用netlink 直接将日志广播到用户态,这样一来效率更高。首先安装ulog 包,命令如下:

  1. #apt-get install ulogd 

查看iptables 日志,如图1-30 所示。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

征服Python—语言基础与典型应用

Python是目前流行的脚本语言之一。本书由浅入深、循序渐进地讲解如何使用Python进行程序开发。全书内容包括Python安装、开发工具简介、Pyth...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊