启用Linux防火墙日志记录和分析功能
防火墙的基本功能是阻止来自可疑网络/来源的连接。它会检查所有连接的源地址、目的地址和端口,并决定是否允许或阻止流量。防火墙的每个操作都会记录为日志数据。监控和分析这些日志对于保护您的网络免受攻击至关重要。要这样做,您需要首先启用日志功能。以下是在Linux防火墙中启用日志的步骤。
在Linux系统中,使用命令行界面iptables来设置和维护NetFilter防火墙的IPv4表。当系统尝试建立连接时,iptables会在其列表中查找规则,以确定是否允许或拒绝该连接。如果没有规则,则采用默认操作。iptables是大多数Linux系统的预安装组件。iptables使用输入、转发和输出三个不同的链来控制进入网络、在网络内转发和离开网络的流量。
为iptables启用日志记录对于监控进出流量至关重要。
一、在iptables中启用日志记录
使用以下命令在iptables中启用日志记录:
iptables -A INPUT -j LOG
要为特定的IP地址或IP地址范围启用日志记录,可以使用以下命令:
iptables -A INPUT -s 192.168.10.0/24 -j LOG
要定义iptables生成的日志的级别,请使用-log-level选项,然后跟上级别数字。请参考以下命令的语法:
iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-level 4
如果你手动分析日志文件,最好在生成的日志文件中添加一个前缀,这样你就可以更方便地搜索大量日志文件。执行此操作的命令如下。
iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-prefix '** SUSPECT **'
查看iptables日志
在启用日志功能后,您可