共计 2985 个字符,预计需要花费 8 分钟才能阅读完成。
最近,因为相应的业务需求需要对服务器的相应服务做访问分析,在做之前大致思考了下,可以利用 iptables 的 log 日志功能用来做相应的日志分析,在此就以做 ssh 端口访问做日志分析来简单讲解下,在实际生产环境下也可以根据实际情况调整,可以用来做 WEB 服务等等的相应的访问日志分析。
首先,在使用日志分析之前最重要的就是 iptables 的 log 功能,至于 iptables 中的 log 功能使用 也很简单, 在开启后会把日志写入 /var/log/messages 内核日志中,而 iptables 的日志功能使用的几个参数也很简单,如下:
--log-level level 记录级别 --log-prefix prefix 在纪录信息前加上特定的前缀:最多 14 个字母长,用来和记录中其他信息区别。--log-tcp-sequence 记录 TCP 序列号。使用此日志会打印 tcp 的重要信息,要注意日志的相应权限,确保信息不泄露。--log-tcp-options 记录来自 TCP 包头部的选项,tcp3 次握手的一些具体信息。--log-ip-options 记录来自 IP 包头部的选项,源 ip 目的 ip 的详细信息。因为分析的服务是 tcp 的端口那么在这里就每一次的 NEW 的信息写入日志,而系统日志都是通过 rsyslog 进行管理日志的,rsyslog 是 syslog 的升级版,在 CentOS 中的 6.9 及其以上版本和大部分的 Ubuntu 系统中都是使用 rsyslog,而升级后的 rsyslog 在功能更强大后基本的配置同 syslog 差不多,当然如果是旧版的系统中使用 syslog 也是可以的,而 syslog 在以前有提过,在此就不做过多的说明了,需要的可以参看:http://www.linuxidc.com/Linux/2017-02/140474.htm,而在定义 iptables 的中日志级别的参数中日志级别就是使用 rsyslog,如果没有定义默认级别是 4,而主要的日志级别,大致如下:
| 等级 | 等级名称 | 说明 |
|---|---|---|
| 1 | info | 一些基本信息说明,这个级别日志也最为详细 |
| 2 | notice | 除了 info 级别外还多一些需要注意的信息 |
| 3 | warning(warn) | 警告信息,可能会出现的问题,还还不至于影响某个进程 |
| 4 | err(error) | 一些重大的错误信息,一般 err 信息就可以就可以排查相应的问题了 |
| 5 | crit | 比 err 更为重要的错误信息,一般到这个级别错误就很严重了 |
| 6 | alart | 警告比 crit 更为严重 |
| 7 | emerg(panic) | panic 级别,快要死机的状态,很严重的错误信息 |
当然 rsyslog 日志中还有 2 个级别 debug(错误检测等级)和 none(不需要登录等级),一般很少使用,而在 iptables 的日志是写在内核日志中,那么为了便于收集日志用来分析,那么可以修改 rsyslog 日志的配置文件重新指定下 iptables 的日志,追加以下这一行,然后重启 rsyslog,这里日志级别也可以使用 warning 级别,在此就用 * 代表收集所有日志
[root@localhost ~]# echo "kern.* /var/log/iptables.log" >> /etc/rsyslog.conf [root@localhost ~]# /etc/init.d/rsyslog restart当然,如果是做 WEB 的 80 端口分析,可能日志会非常多,那么就需要使用 logrotate 用来切割日志做分析,logrotate 的配置以前也有提过此处就不做更多的赘述了,需要可以参看:http://www.linuxidc.com/Linux/2017-02/140261.htm
配置如下:
[root@localhost ~]# vim /etc/logrotate.d/iptables /var/log/iptables.log { copytruncate daily rotate 7 dateext missingok compress create 600 root root } [root@localhost ~]# echo "59 23 * * * /usr/sbin/logrotate -f /etc/logrotate.conf" >> /var/spool/cron/root在 iptables 中添加一条策略, 把要做日志分析的服务端口做记录:
[root@localhost ~]# vim /etc/sysconfig/iptables …略… -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ssh_access-" --log-tcp-sequence --log-tcp-options --log-ip-options -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited [root@localhost ~]# /etc/init.d/iptables restart最后在添加一条 logrotate 定时任务使日志切割生效即可,总之用这套日志分析方案可以解决很多需要分析日志的服务,不过要注意写好 iptables 的相应规则及 logrotate 日志切割日志,以免日志太大塞满磁盘。
更多 iptables 相关教程见以下内容:
CentOS 7.0 关闭默认防火墙启用 iptables 防火墙 http://www.linuxidc.com/Linux/2015-05/117473.htm
Iptables 工作原理使用详解 http://www.linuxidc.com/Linux/2016-09/134945.htm
Ubuntu 14.04 配置 iptables 防火墙 http://www.linuxidc.com/Linux/2017-02/140556.htm
Linux 下编译安装 iptables http://www.linuxidc.com/Linux/2017-04/142615.htm
iptables 的备份、恢复及防火墙脚本的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm
Iptables 工作原理使用详解 http://www.linuxidc.com/Linux/2016-09/134945.htm
CentOS7 下 iptables 配置过程 http://www.linuxidc.com/Linux/2017-01/139622.htm
Linux 下 iptables 防火墙设置 http://www.linuxidc.com/Linux/2015-10/123843.htm
Linux 防火墙 iptables 详解 http://www.linuxidc.com/Linux/2016-12/138474.htm
本文永久更新链接地址:http://www.linuxidc.com/Linux/2017-07/145359.htm
