实验效果

记录所有被防火墙拦截的数据包,并且保存以用于后续分析服务器是否被"端口扫描&#​34;

配置步骤

1、启用防火墙日志记录功能

可以使用 firewall-cmd 命令修改

2、配置日志文件单独保存

默认情况下,防火墙的拒绝日志会被保存在/var/log/messages 文件中。

但随着时间流逝,大量的拒绝日志可能会充斥该文件,并且默认系统会对 messages 文件进行日志旋转,不利于后续的准确分析。

可以通过 rsyslog 来捕获日志,并将其重定向到其他指定的文件中。

在 /etc/rsyslog.d/ 目录下创建一个 firewalld.conf 的文件,内容如下:

然后重启 rsyslog 服务

3、审计日志

直接查看该文件( /var/log/firewalld.log )很难统计出所有的信息,因为日志条目太长了,并且数量也多。

需要借助 grep 命令 awk 等命令帮助列出有用的信息。

最终我们想要看到的日志条目格式如下:

• 源IP地址-->协议/TCP:目的端口

• 源IP地址-->协议/UDP:目的端口

创建一个自定义命令 analyze-firewall 写入以下内容:

4、运行效果