最近,因为相应的业务需求需要对服务器的相应服务做访问分析,在做之前大致思考了下,可以利用iptables的log日志功能用来做相应的日志分析,在此就以做ssh端口访问做日志分析来简单讲解下,在实际生产环境下也可以根据实际情况调整,可以用来做WEB服务等等的相应的访问日志分析。
首先,在使用日志分析之前最重要的就是iptables的log功能,至于iptables中的log功能使用 也很简单,在开启后会把日志写入/var/log/messages内核日志中,而iptables的日志功能使用的几个参数也很简单,如下:
--log-level level 记录级别
--log-prefix prefix 在纪录信息前加上特定的前缀:最多14个字母长,用来和记录中其他信息区别。
--log-tcp-sequence 记录TCP序列号。使用此日志会打印tcp的重要信息,要注意日志的相应权限,确保信息不泄露。
--log-tcp-options 记录来自TCP包头部的选项,tcp3次握手的一些具体信息。
--log-ip-options 记录来自IP包头部的选项,源ip目的ip的详细信息。
因为分析的服务是tcp的端口那么在这里就每一次的NEW的信息写入日志,而系统日志都是通过rsyslog进行管理日志的,rsyslog是syslog的升级版,在CentOS中的6.9及其以上版本和大部分的Ubuntu系统中都是使用rsyslog,而升级后的rsyslog在功能更强大后基本的配置同syslog差不多,当然如果是旧版的系统中使用syslog也是可以的,而syslog在以前有提过,在此就不做过多的说明了,需要的可以参看: ,而在定义iptables的中日志级别的参数中日志级别就是使用rsyslog,如果没有定义默认级别是4,而主要的日志级别,大致如下:
等级等级名称说明1 info 一些基本信息说明,这个级别日志也最为详细
2 notice 除了info级别外还多一些需要注意的信息
3 warning(warn) 警告信息,可能会出现的问题,还还不至于影响某个进程
4 err(error) 一些重大的错误信息,一般err信息就可以就可以排查相应的问题了
5 crit 比err更为重要的错误信息,一般到这个级别错误就很严重了
6 alart 警告比crit更为严重
7 emerg(panic) panic级别,快要死机的状态,很严重的错误信息
当然rsyslog日志中还有2个级别debug(错误检测等级)和none(不需要登录等级),一般很少使用,而在iptables的日志是写在内核日志中,那么为了便于收集日志用来分析,那么可以修改rsyslog日志的配置文件重新指定下iptables的日志,追加以下这一行,然后重启rsyslog,这里日志级别也可以使用warning级别,在此就用*代表收集所有日志
[root@localhost ~]# echo "kern.* /var/log/iptables.log" >> /etc/rsyslog.conf
[root@localhost ~]# /etc/init.d/rsyslog restart
当然,如果是做WEB的80端口分析,可能日志会非常多,那么就需要使用logrotate用来切割日志做分析,logrotate的配置以前也有提过此处就不做更多的赘述了,需要可以参看:
配置如下:
[root@localhost ~]# vim /etc/logrotate.d/iptables
/var/log/iptables.log {
copytruncate
daily
rotate 7
dateext
missingok
compress
create 600 root root
}
[root@localhost ~]# echo "59 23 * * * /usr/sbin/logrotate -f /etc/logrotate.conf" >> /var/spool/cron/root
在iptables中添加一条策略,把要做日志分析的服务端口做记录:
[root@localhost ~]# vim /etc/sysconfig/iptables
…略…