Dokumenty<Poprzedni | Spis treści | Następne>
3.4. Dzienniki
Dzienniki zapory są niezbędne do rozpoznawania ataków, rozwiązywania problemów z regułami zapory i zauważania nietypowej aktywności w sieci. Musisz jednak uwzględnić reguły rejestrowania w zaporze, aby zostały wygenerowane, a reguły rejestrowania muszą znajdować się przed każdą odpowiednią regułą kończącą (reguła z celem, który decyduje o losie pakietu, takim jak AKCEPTUJ, UPUŚĆ lub ODRZUĆ).
Jeśli korzystasz z ufw, możesz włączyć logowanie, wpisując w terminalu:
sudo ufw logowanie
Aby wyłączyć logowanie w ufw, po prostu zastąp on w poza w powyższym poleceniu. Jeśli używasz iptables zamiast ufw, wpisz:
sudo iptables -A INPUT -m stan --state NOWY -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN: "
Żądanie na porcie 80 z komputera lokalnego spowoduje wygenerowanie dziennika dmesg, który wygląda tak (pojedyncza linia podzielona na 3, aby zmieścić się w tym dokumencie):
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN =60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
Powyższy dziennik pojawi się również w / var / log / messages, / var / log / syslog, /var/log/kern.log. To zachowanie można zmodyfikować poprzez edycję /etc/syslog.conf odpowiednio lub instalując i konfigurując ulogd i używając celu ULOG zamiast LOG. Demon ulogd to serwer w przestrzeni użytkownika, który nasłuchuje instrukcji logowania z jądra specjalnie dla zapór ogniowych i może zalogować się do dowolnego pliku, a nawet do bazy danych PostgreSQL lub MySQL. Zrozumienie logów zapory sieciowej można uprościć za pomocą narzędzia do analizy logów, takiego jak logwatch, fwanalog, fwlogwatch lub lire.