Linux firewalld开启日志审计功能(2)

在Firewalld防火墙中启用和配置logdenied选项,记录被拒绝的数据包(等同于开启日志功能)

效果展示:

1.开启日志记录功能

复制代码
firewall-cmd --set-log-denied=unicast

#重新加载生效配置

复制代码
firewall-cmd --reload

2.配置rsyslog捕获日志

##Rsyslog可以用来捕获日志,并将其重定向到指定文件中

复制代码
cat <<END>> /etc/rsyslog.d/firewalld.conf

:msg,contains,"_DROP" /var/log/firewalld.log

& stop

:msg,contains,"_REJECT" /var/log/firewalld.log

& stop

END

#重启使其生效

复制代码
systemctl restart rsyslog

3.审计日志

##查看日志发现日志条目太长了,并且数量也多很难统计出有效信息,所以需要借助脚本过滤出提取有效信息

(1)添加过滤日志脚本

复制代码
cat <<END>> /usr/local/bin/firewall-log
#!/bin/bash
PH=/tmp/.deny_analyze

echo '===> firewalld拦截信息日志 <==='
echo
echo  "拒绝次数 IP地址/端口"
cat /var/log/firewalld.log | awk '{print $10"="$17":"$19}' | grep -vE "SRC=0000*|SRC=fe80*" | grep DPT >$PH
cat /var/log/firewalld.log | awk '{print $10"="$18":"$20}' | grep -vE "SRC=0000*|SRC=fe80*" | grep DPT >>$PH
cat $PH | awk -F= '{gsub("PROTO","协议",$3);gsub("DPT","",$4);print $2"->"$3"/"$4$5}' | sort -nr | uniq -c | sort -nr | head -10
END

(2)添加可执行权限

复制代码
chmod +x /usr/local/bin/firewall-log

4.尝试运行查看日志命令

复制代码
firewall-log
相关推荐
沉默的八哥32 分钟前
Linux中LVM逻辑卷扩容
linux·运维·服务器
退役小学生呀34 分钟前
十一、K8s细粒度权限管理RBAC
linux·docker·云原生·容器·kubernetes·k8s
网易独家音乐人Mike Zhou2 小时前
【Linux应用】开发板USB共享网络,网线或USB以太网共享网络(局域网连接PC和开发板,实现PC给开发板共享网络,USB通过NDIS驱动共享)
linux·网络·单片机·mcu·物联网·嵌入式·iot
Otaku love travel2 小时前
实施运维文档
运维·windows·python
basketball6163 小时前
Linux C 管道文件操作
linux·运维·c语言
浩浩测试一下3 小时前
Windows 与 Linux 内核安全及 Metasploit/LinEnum 在渗透测试中的综合应用
linux·运维·windows·web安全·网络安全·系统安全·安全架构
stark张宇3 小时前
Linux 文件创建、删除、移动、复制基础知识整理
linux·服务器·centos
将心ONE4 小时前
使用 lstrip() 和 rstrip() 方法
运维·服务器
G_whang4 小时前
centos7 安装jenkins
运维·jenkins
Jiangnan_Cai5 小时前
Linux 系统 docker 部署 Dify
linux·docker·大模型·dify