Linux firewalld开启日志审计功能(2)

在Firewalld防火墙中启用和配置logdenied选项,记录被拒绝的数据包(等同于开启日志功能)

效果展示:

1.开启日志记录功能

复制代码
firewall-cmd --set-log-denied=unicast

#重新加载生效配置

复制代码
firewall-cmd --reload

2.配置rsyslog捕获日志

##Rsyslog可以用来捕获日志,并将其重定向到指定文件中

复制代码
cat <<END>> /etc/rsyslog.d/firewalld.conf

:msg,contains,"_DROP" /var/log/firewalld.log

& stop

:msg,contains,"_REJECT" /var/log/firewalld.log

& stop

END

#重启使其生效

复制代码
systemctl restart rsyslog

3.审计日志

##查看日志发现日志条目太长了,并且数量也多很难统计出有效信息,所以需要借助脚本过滤出提取有效信息

(1)添加过滤日志脚本

复制代码
cat <<END>> /usr/local/bin/firewall-log
#!/bin/bash
PH=/tmp/.deny_analyze

echo '===> firewalld拦截信息日志 <==='
echo
echo  "拒绝次数 IP地址/端口"
cat /var/log/firewalld.log | awk '{print $10"="$17":"$19}' | grep -vE "SRC=0000*|SRC=fe80*" | grep DPT >$PH
cat /var/log/firewalld.log | awk '{print $10"="$18":"$20}' | grep -vE "SRC=0000*|SRC=fe80*" | grep DPT >>$PH
cat $PH | awk -F= '{gsub("PROTO","协议",$3);gsub("DPT","",$4);print $2"->"$3"/"$4$5}' | sort -nr | uniq -c | sort -nr | head -10
END

(2)添加可执行权限

复制代码
chmod +x /usr/local/bin/firewall-log

4.尝试运行查看日志命令

复制代码
firewall-log
相关推荐
程序员JerrySUN23 分钟前
Linux 内核同步管理全解:原理 + 实战 + 考点
linux·运维·服务器
Murrays30 分钟前
【技能证书】适用于自动化方向从业者
运维·自动化
19891 小时前
【Dify精讲】第14章:部署架构与DevOps实践
运维·人工智能·python·ai·架构·flask·devops
杰克逊的日记2 小时前
什么是RoCE网络技术
运维·服务器·网络·roce
IT成长日记2 小时前
【Docker基础】Docker镜像管理:docker commit详解
运维·docker·容器·docker commit
IT成长日记2 小时前
【Docker基础】Docker镜像管理:docker build详解
运维·docker·容器·docker build
大神的风范2 小时前
从0开始学linux韦东山教程Linux驱动入门实验班(1)
linux
dessler2 小时前
ZooKeeper-备份(Backup)
linux·运维·zookeeper
咖啡续命又一天2 小时前
Linux grep 命令
linux·运维
小高求学之路2 小时前
Centos 离线部署(MQTT)EMOX脚本并设置开机自启
linux·运维·centos