- Startside
- Vejledning til logføring
- Aktivering og analyse af logfiler i Linux firewall.
Aktivering og analyse af logfiler i Linux firewall.
På denne side
- Indsamling af firewall-logfiler i Linux
- Aktivering af logføring i iptables
- Visning af iptables logfil
En firewalls grundlæggende funktion er at stoppe forbindelser fra mistænkelige netværk/kilder. Den inspicerer kildeadressen, destinationsadressen og porten for alle forbindelser og beslutter, om den skal tillade eller blokere trafikken. Enhver handling foretaget af firewallen registreres som logdata. Det er vigtigt at overvåge og analysere disse logfiler for at beskytte dit netværk mod angreb. For at gøre det skal du først aktivere logføring. Nedenfor er de procedurer, der giver dig mulighed for at aktivere logføring i Linux-firewalls.
Indsamling af firewall-logfiler i Linux
Når det kommer til Linux-systemer, bruges iptables, en kommandolinjegrænseflade, til at oprette og vedligeholde tabeller eller regler for NetFilter-firewallen til IPv4, der som standard er inkluderet i Linux-kernen. Når en forbindelse forsøger at etablere sig på systemet, søger iptables efter en regel på sin liste for at se, om forbindelsen skal tillades eller nægtes. Hvis der ikke er nogen regler, tyr den til standardhandlingen. iptables er forudinstalleret i de fleste Linux-systemer.
iptables bruger tre forskellige kæder - input, forward og output - til at kontrollere trafikken, der kommer ind i netværket, omdirigeres inden for netværket og går ud af netværket.
Det er vigtigt at aktivere logføring på iptables for at overvåge indgående og udgående trafik.
Aktivering af logføring i iptables
Brug følgende kommando til at aktivere logføring i iptables.
iptables -A INPUT -j LOG
For at aktivere logføring for en specifik IP-adresse eller et specifikt område skal du bruge kommandoen nedenfor:
iptables -A INPUT -s 192.168.10.0/24 -j LOG
For at definere niveauet af den LOG, der genereres af iptables, skal du bruge -log-level efterfulgt af niveaunummeret. Se kommandoens syntaks nedenfor:
iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-level 4
Hvis du analyserer logfilerne manuelt, er det bedre at tilføje et præfiks i de genererede logfiler, så det er nemmere for dig at søge i det store antal logfiler. Kommandoen til at udføre denne handling er angivet nedenfor. Alternativt kan du altid vælge en loghåndteringsløsning, f.eks. EventLog Analyzer, til at indsamle, overvåge, analysere og få brugbar indsigt i firewalllogfiler.
iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-prefix '** SUSPECT **'
Visning af iptables logfil
Når du har aktiveret logføring, kan du altid gennemgå logfilerne på disse placeringer:
Ubuntu and Debian: tail -f /var/log/kern.log
CentOS, RHEL, and Fedora cat /var/log/messages