Linux firewalld开启日志审计功能(2)

在Firewalld防火墙中启用和配置logdenied选项,记录被拒绝的数据包(等同于开启日志功能)

效果展示:

1.开启日志记录功能

复制代码
firewall-cmd --set-log-denied=unicast

#重新加载生效配置

复制代码
firewall-cmd --reload

2.配置rsyslog捕获日志

##Rsyslog可以用来捕获日志,并将其重定向到指定文件中

复制代码
cat <<END>> /etc/rsyslog.d/firewalld.conf

:msg,contains,"_DROP" /var/log/firewalld.log

& stop

:msg,contains,"_REJECT" /var/log/firewalld.log

& stop

END

#重启使其生效

复制代码
systemctl restart rsyslog

3.审计日志

##查看日志发现日志条目太长了,并且数量也多很难统计出有效信息,所以需要借助脚本过滤出提取有效信息

(1)添加过滤日志脚本

复制代码
cat <<END>> /usr/local/bin/firewall-log
#!/bin/bash
PH=/tmp/.deny_analyze

echo '===> firewalld拦截信息日志 <==='
echo
echo  "拒绝次数 IP地址/端口"
cat /var/log/firewalld.log | awk '{print $10"="$17":"$19}' | grep -vE "SRC=0000*|SRC=fe80*" | grep DPT >$PH
cat /var/log/firewalld.log | awk '{print $10"="$18":"$20}' | grep -vE "SRC=0000*|SRC=fe80*" | grep DPT >>$PH
cat $PH | awk -F= '{gsub("PROTO","协议",$3);gsub("DPT","",$4);print $2"->"$3"/"$4$5}' | sort -nr | uniq -c | sort -nr | head -10
END

(2)添加可执行权限

复制代码
chmod +x /usr/local/bin/firewall-log

4.尝试运行查看日志命令

复制代码
firewall-log
相关推荐
一个不知名程序员www43 分钟前
Linux基本指令/下
linux·服务器·centos
zhcong_1 小时前
LVS+Keepalived高可用群集
linux·运维·lvs
Angel Q.1 小时前
系统是win11+两个ubuntu,ubuntu20.04和ubuntu22.04,想删除ubuntu20.04且不用保留数据
linux·运维·ubuntu
JzjSunshine1 小时前
配置远程无密登陆ubuntu服务器时无法连接问题排查
linux·运维·ubuntu
爱奥尼欧2 小时前
【Linux】环境变量完全解析
linux·运维·服务器
运维成长记3 小时前
ansible-playbook 进阶 接上一章内容
linux·服务器·ansible
愚润求学4 小时前
【Linux】mmap文件内存映射
linux·运维·服务器·开发语言·c++
就是我4 小时前
轻松管理Linux定时任务:Cron实用教程
linux·后端
hope_wisdom5 小时前
Linux系统编程之共享内存
linux·共享内存·linux系统·linux编程
Ealrang5 小时前
Linux分区总结
运维