基于rsyslog的iptables.log配置

iptables.log
防火墻工作在linux內核的網絡棧上。在防火墻開啟的情況下任何通過網卡（包括進和出）的包都需要防火墻來處理。默認情況下防火處理過的包都是不記錄的。有時候因系統安全及業務的需要對防火墻處理過的某些數據包要分析，此時通過日志的形式詳細記錄防火墻的處理細節就顯得尤為重要。下面介紹基于rsyslog的防火墻日志配置。
一、準備工作
1.安裝rsyslog
# yum install syslog
二、在防火墻添加規則。關于LOG的參考文檔：https://help.ubuntu.com/community/IptablesHowTo
# iptables -A INPUT -p tcp –dport 22 -j LOG –log-prefix "one: " #此處的"one: "自行定義，有意義即可。可以理解為符合此規則的數據包防火墻都給打上一個標示"one: "
# iptables -A INPUT -p tcp –dport 22 -j ACCEPT

# iptables -A OUTPUT -p tcp –sport 80 -j LOG –log-prefix "two: "
# iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT
.
.
.
例子中只是對netfiler表，INPUT和OUTPUT鏈來說明，也可以根據業務需要對其他表、鏈打標示符
三、iptables.log的配置。
在給防火墻添加規則的過程中給特殊的數據包打標示，下面的配置中將用到。iptables.log中將記錄防火有標示的數據包的處理細節。
# vim /etc/rsyslog.d/iptables.conf （此文件默認是不從在的）添加如下內容
:msg, contains, "one: " -/var/log/iptables.log
& ~
:msg, contains, "two: " -/var/log/iptables.log
& ~

四、啟動rsyslog
service rsyslog start 或 service rsyslog restart

原創文章，作者：馬仙山，如若轉載，請注明出處：http://www.www58058.com/11121

基于rsyslog的iptables.log配置

相關推薦

來馬哥教育后

用戶管理

Linux基礎知識之腳本初級編程

awk

N23-第一周博客作業

btrfs初步應用