Analizando os logs do IPTables

redhate

O IPTables, dentro de suas inúmeras funcionalidades, tem a função de gerar logs do que está acontecendo. Neste artigo vou explicar como analisar essas informações através de um software via web.

[ Hits: 140.765 ]

Por: Luiz Antonio Oliveira em 22/02/2007

4 0

Denuncie Favoritos Indicar Impressora

Configurando e executando

Dentro do diretório /usr/src/fw/fwanalog/ existem vários arquivos de configuração, vou ser bem superficial.

Renomeie o arquivo fwanalog.opts.* (a versão que você usar: linux22, linux24, fbsd, pix, etc) para fwanalog.opts.

Dentro do fwanalog.opts, configure alguns parâmetros:

outdir="/var/www/htdocs/fw" # é para onde vai a saída dos dados analisados, eu uso /var/www/htdocs/fw/MesAno/
inputfiles_mask="messages*" # o nome do arquivo onde são guardadas as informações
inputfiles_dir="/var/log" # o diretório que fica o arquivo
analog="/usr/src/fw/analog/analog" # diga onde está o analog que você acabou de compilar, no caso em: /usr/src/fw/analog/analog

Agora você já pode executar o binário:

# ./fwanalog.sh Apache:

Configure seu Apache para indexar o arquivo de HTML do fwanalog, adicione o "alldates.html" na linha do DirectoryIndex.

Pronto, agora acesse:

http://localhost/fw/

E veja o resultado.

Finalizando

OBS: Caso queira, pode acrescentar no crontab para ficar rodando automático ;-)

Qualquer coisa...

[MSN] lao.eti at gmail dot com
[EMAIL] redhate at gmail dot com
[IRC] redhate, freenode e brasnet
[CEL] +55 85 88064511
[GTALK] redhate at gmail.com
[ICQ] 251384040
[ORKUT] Luiz (redhate) Antonio Oliveira
[SKYPE] redhate.slacklife

Abraços [']sss

Página anterior

Páginas do artigo

   1. Arquivo básico de IPTables
   2. Instalando o analisador
   3. Configurando e executando

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

webCalendar: a agenda e o PAM

Rainbow Crack e Rainbow Tables

ACCT - O contabilizador de processos do Linux

Encapsulando BIND 9 e Apache 2 para obter maior segurança

Autenticação por desafio e resposta no SSH

Comentários

[1] Comentário enviado por fmendes em 22/02/2007 - 14:28h

Bacana... Parabéns pelo artigo.

1 0

[2] Comentário enviado por those em 22/02/2007 - 16:23h

rlx, muito bom

0 0

[3] Comentário enviado por Flavio A. Reis em 31/10/2007 - 13:04h

Parabéns, muito útil.
Estou começando com o Firewall na empresa agora, já ocorreu algumas rejeições por parte de usuários.
o VOL tem ajudado muito.
Abraços

Alex Reis

0 0

[4] Comentário enviado por paulopmt1 em 29/12/2008 - 23:23h

Bacana esse software...

Parabéns pelo artigo.

0 0

[5] Comentário enviado por thiagosc em 08/07/2009 - 18:35h

Olá artigo muito bom esse.

É necessário ter um ambiente gráfico para conseguir acessar esse log?

0 0

[6] Comentário enviado por mariocarvalhope em 14/06/2010 - 12:00h

Olá,

Quando estou executando o fwanalog.sh está apresentando o seguinte erro:

fwanalog: No input files in the '/var/log/fw/' directory
named /var/log/fw/messages* and under days old.

O que pode está acontecendo ?

0 0

[7] Comentário enviado por renantoledo em 19/05/2011 - 17:13h

como faço aquele configuração do apache sitada ali em cima, sou novo no mundo linux e nao compreendi bem

se alguem puder me ajudar agradeço

0 0

[8] Comentário enviado por jeferson em 31/10/2011 - 23:05h

Boa noite Renatoledo.

execute estes procedimentos:

- entre com o usuario root;
- vá até o diretorio de instalação do apache, se a distro for Ubuntu, é no /etc/apache2/mods-available;
- edite o arquivo dir.conf
- no final da linha DirectoryIndex, acrescente alldates.html

Caso você não encontre este arquivo, execute o comando abaixo, ele procura uma string nos subdiretórios, a partir do diretório que você está posicionado, "/etc/apache2", depois é só editar o arquivo e acrescentar o "alldates.html";
- execute este comando: grep -iR "DirectoryIndex" *, este comando retornará o arquivo em que a string procurada se encontra.

0 0

[9] Comentário enviado por jeferson em 31/10/2011 - 23:07h

Pessoal, vocês sabem como faço para mostrar no relatório gerado o NOME ao invés do IP dos sites acessados?

Obrigado.

0 0