Linux güvenlik duvarı günlüklerinin kaydedilmesi ve analiz edilmesinin etkinleştirilmesi.

Bu sayfada

  • Linux'ta güvenlik duvarı günlüğü toplama
  • iptables'ta günlük kaydını etkinleştirme
  • iptables günlüğünü görüntüleme

Güvenlik duvarının temel işlevi şüpheli ağlardan/kaynaklardan gelen bağlantıları durdurmaktır. Tüm bağlantıların kaynak adresini, hedef adresini ve bağlantı noktalarını inceleyerek trafiğe izin verilmesi veya trafiğin engellenmesi yönünde bir karar verir. Güvenlik duvarı tarafından gerçekleştirilen her eylem günlük verisi olarak kaydedilir. Ağınızı saldırılara karşı korumak için bu günlüklerin izlenmesi ve analiz edilmesi esastır. Bunun için ilk önce günlük kaydını etkinleştirmeniz gerekir. Aşağıda Linux güvenlik duvarlarında günlük kaydını etkinleştirebilmenizi sağlayacak prosedürler açıklanmıştır.

Linux'ta güvenlik duvarı günlüğü toplama

Linux sistemleri söz konusu olduğunda, iptables, Linux çekirdeğine varsayılan olarak dahil edilmiş olan IPv4 için NetFilter güvenlik duvarına yönelik tablolar veya kuralların ayarlanması ve sürdürülmesini sağlamak üzere bir komut satırı arayüzünden faydalanır. Sistemde bir bağlantı kurma girişimi sırasında, iptables ilgili bağlantıya izin verilip verilmeyeceğini tespit etmek üzere için listesinde bir kural arar. Herhangi bir kural yoksa, varsayılan eyleme başvurur. iptables çoğu Linux sisteminde önceden yüklenmiş olarak sunulmaktadır.

iptables, ağa gelen, ağ içinde yeniden yönlendirilen ve ağdan çıkan trafiği kontrol etmek üzere üç farklı zincirden faydalanır: giriş, iletme ve çıkış.

iptables'ta günlük kaydının etkinleştirilmesi, gelen ve giden trafiği izlemek için esastır.

iptables'ta günlük kaydını etkinleştirme

iptables'ta günlük kaydını etkinleştirmek için aşağıdaki komutu kullanın.

iptables -A INPUT -j LOG

Belirli bir IP veya aralık için günlük kaydını etkinleştirmek istediğinizde aşağıdaki komutu kullanın:

iptables -A INPUT -s 192.168.10.0/24 -j LOG

iptables tarafından oluşturulan GÜNLÜĞÜN seviyesini tanımlamak için, seviye numarasının ardından -log-level ifadesini kullanın. Aşağıdaki komutun sözdizimine başvurun:

iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-level 4

Günlükleri manuel olarak analiz ediyorsanız, çok sayıda günlük dosyası içinde daha kolay arama yapmak için oluşturulan günlüklere bir önek ilave etmeniz daha iyi olacaktır. Bu işlemi gerçekleştirmek için kullanılacak komut aşağıda verilmiştir. Alternatif olarak, güvenlik duvarı günlüklerini toplamak, izlemek, analiz etmek ve bunlara ilişkin eyleme geçilebilir içgörüler edinmek üzere EventLog Analyzer gibi bir günlük yönetimi çözümünden faydalanmayı seçebilirsiniz.

iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-prefix '** SUSPECT **'

iptables günlüğünü görüntüleme

Günlük kaydını etkinleştirmenizin ardından, bu konumlardaki günlük dosyalarını dilediğiniz zaman inceleyebilirsiniz:

Ubuntu and Debian: tail -f /var/log/kern.log
CentOS, RHEL, and Fedora cat /var/log/messages

Sırada ne var?

EventLog Analyzer'ın güvenlik içgörüleri ve anlık uyarı özellikleri sayesinde Linux güvenlik duvarı günlük izleme süreçlerini geliştirin.

İndirÜrün turuna katılın