Linux IPtables
Linux IPtables DSM for JSA 通过使用 syslog 接受防火墙 IPtables 事件。
JSA 记录来自 Linux IPtables 的所有相关内容,其中系统日志事件包含以下任何单词:接受、丢弃、拒绝或拒绝。在事件有效负载中创建自定义日志前缀使 JSA 能够轻松识别 IPtables 行为。
配置 IP 表
IPtables 是一个功能强大的工具,用于在 Linux 内核防火墙上创建规则以路由流量。
要配置 IPtables,您必须检查现有规则,修改规则以记录事件,并为 IPtables 规则分配可由 JSA 标识的日志标识符。此过程用于确定 JSA 记录哪些规则。 JSA 包括在事件有效负载中包含以下词语的任何已记录事件:接受、丢弃、拒绝或拒绝。
使用 SSH,以 root 用户身份登录到您的 Linux 服务器。
编辑以下目录中的 IPtables 文件:
/etc/iptables.conf
注意:包含 IPtables 规则的文件可能会因您配置的特定 Linux 操作系统而异。例如,使用 Red Hat Enterprise 的系统将文件放在 /etc/sysconfig/iptables 目录中。有关配置 IPtables 的详细信息,请参阅 Linux 操作系统文档 。
查看该文件以确定要记录的 IPtables 规则。
例如,如果要记录条目定义的规则,请使用:
-A INPUT -i eth0 --dport 31337 -j DROP在要记录的每个规则之前插入匹配规则:
-A INPUT -i eth0 --dport 31337 -j DROP-A INPUT -i eth0 --dport 31337 -j DROP对于要记录的每个规则,将新规则的目标更新为 LOG,例如:
-A INPUT -i eth0 --dport 31337 -j LOG-A INPUT -i eth0 --dport 31337 -j DROP将 LOG 目标的日志级别设置为 SYSLOG 优先级,例如信息或通知:
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info-A INPUT -i eth0 --dport 31337 -j DROP-
配置日志前缀以标识规则行为。将日志前缀参数设置为 :
Q1Target=<rule>其中<rule>是以下 IPtable 防火墙操作之一:“fw_accept”、“fw_drop”、“fw_reject”或“fw_deny”。
例如,如果防火墙记录的规则针对丢弃的事件,则日志前缀设置为:
Q1Target=fw_drop-A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
注意:右引号前必须有尾随空格。
保存并退出文件。
使用以下命令重新启动 IP表:
/etc/init.d/iptables restart
打开 syslog.conf 文件。
添加以下行:
kern.<log level>@<IP address>
哪里:
<log level> 是先前设置的日志级别。
<IP address> 是 JSA 的 IP 地址。
保存并退出文件。
使用以下命令重新启动系统日志守护程序:
/etc/init.d/syslog restart
系统日志守护程序重新启动后,事件将转发到 JSA。从 Linux 服务器转发的 IPtable 事件会自动发现并显示在 JSA 的“日志活动”选项卡中。
Linux IPtable 的系统日志日志源参数
如果 JSA 未自动检测日志源,请使用系统日志协议在 JSA 控制台上添加 Linux IPtables 日志源。
使用 syslog 协议时,必须使用一些特定参数。
下表描述了需要特定值才能从 Linux IPtables 收集系统日志事件的参数:
参数 |
价值 |
|---|---|
日志源类型 |
Linux IPtables 防火墙 |
协议配置 |
系统日志 |
日志源标识符 |
键入日志源的 IP 地址或主机名,作为来自 Linux IPtables 防火墙的事件的标识符。 |