FwLogWatch - Analisando Registros do IPtables
Neste artigo, irei abordar o uso da ferramenta fwlogwatch para gerar relatórios de registros do IPtables, tornando sua
leitura facilmente legível, permitindo fazer uma melhor análise dos Logs.[ Hits: 47.789 ]
Por: Perfil removido em 06/02/2012
Automatizando relatórios
Nesta parte do artigo, vou tratar de automatizar a tarefa de geração de relatórios usando o arquivo de configuração "/etc/fwlogwatch/fwlogwatch.config", este arquivo é utilizado para automatizar o processo de criação de relatórios de Logs do IPtables.
Caso você o configure, não será necessário especificar opções junto ao comando 'fwlogwatch' rodado em linha de comando, pois o mesmo irá buscar as informações neste arquivo de configuração.
Não vou tratar de mostrar todas opções presentes no arquivo, e sim as opções que irei utilizar para gerar o relatório automatizado e personalizado que será visto mais adiante, por padrão todas as opções estão desativadas.
Primeiro, edite o arquivo com seu editor predileto:
# vim /etc/fwlogwatch/fwlogwatch.config
Abaixo, é mostrado as opções que foram ativadas para criar um relatório visualizando o tráfego aceito na porta 22 do SSH, e farei comentários descrevendo para que servem:
input = /var/log/firewall/firewall.log
# Mostra a porta de origem no relatório.
src_port = on
# Mostrar a porta de destino relatório.
dst_port = on
# Trata os protocolos diferentes (tcp,udp,icmp).
protocol = on
# Mostra detalhes sobre pacotes TCP.
tcp_opts = on
# A opção abaixo indica um título do relatório personalizado.
title = Porta 22 SSH
# Inclui no relatório o host de destino, no caso você pode trocar o endereço conforme a máquina de destino do pacote.
# Nesse exemplo estou colocando o endereço da máquina que está recebendo a conexão SSH.
include_dst_host = 192.168.213.250
# Com a opção abaixo ativada, irá ser feito um filtro para porta específica.
# A porta 22 do SSH do destino da conexão.
include_dst_port = 22
# Opção para fazer com que o arquivo de saída seja em formato HTML.
html = yes
# Localização do arquivo de saída.
output = /home/edson/ssh.html
# Opção muito interessante para gerar relatórios conforme período, equivale a opção: -l time ('time' podendo ser em dias, horas, minutos, meses e etc).
# abaixo vou mostrar como gerar de 3 horas até o horário atual.
recent = 3h
# As duas opções abaixo correspondem à data inicial e final dos pacotes.
start_times = yes
end_times = yes
# Quantidade de entradas que serão mostradas no relatório, no exemplo 50 ultimas entradas.
maximum = 50
Para finalizar, só falta agora agendar a execução do comando 'fwlogwatch' para gerar os relatórios. No exemplo, vou agendar para gerar aos dez minutos de cada hora todos os dias:
# vim /etc/crontab
Inclua a linha abaixo, no final do arquivo:
10 * * * * root fwlogwatch
Para visualizar o arquivo criado, acesse o diretório e abra com seu navegador.
Veja como ficou o arquivo "/home/edson/ssh.html", com todo o relatório gerado através das opções habilitadas conforme mostrado acima, acessado pelo navegador em modo texto:
2. Gerando relatórios via linha de comando
3. Automatizando relatórios
4. Centralizando Logs do IPtables e Acessando via WEB
Introduzindo um pouco mais a fundo o shell script
Usando tabulações no OpenOffice.org
Open source fomentando o conhecimento
Sudoers 1.8.12 - Parte III - Manual
Conexão wireless ad-hoc no Ubuntu - relato de experiência
Distribuições Linux Para Computadores Antigos
Comando du - encontrando as maiores pastas e arquivos no Linux
Instalação do XFCE 4.2 no Debian
Criação de um repositório (mrepo) - Red Hat e CentOS 5 (com atualização na RHN para RedHat)
Instalando programas no Linux - Completo e total
Opa, gostei vou tentar rodar aqui. valeu
Amigo muito bom.. tive só um probleminha no OPENSUSE..mas agora esta zerado..!!
Cara, valeu ajudou muito aqui, mas no relatório teria como mostrar os destino externos? pegar acesso aqui da minha rede para uma rede externa
você poderia criar um regra de log antes da regra principal dizendo para registar acessos da sua rede local para um ip externo.
depois é só gerar os relatórios e analisar podendo filtrar também.
Opa!
Muito bom esse artigo, irei testar hj...
Porém uma coisa que numca consegui foi por exemplo, minha politica padrão e DROP de INPUT e FORWARD, gostaria de jogar para log só o que cair nessa politica, dai faria um relatorio so desse tentativas...
teria algums ideia de como fazer isso??
Abraço
Obrigado pelo comentário !
Para gerar o log é só executar a regra que registra antes da regra que irá fazer o filtro.
Abraço !
[6] Comentário enviado por eabreu em 20/04/2013 - 17:29h:
Obrigado pelo comentário !
Para gerar o log é só executar a regra que registra antes da regra que irá fazer o filtro.
Abraço !
hehe Sim amigo isso eu sei... :-D
O problema e fazer um logs do que cair na Politica padrão, entendeu??
Regra:
iptables -P INPUT DROP
Como fazer log dessa regra??
[7] Comentário enviado por PretooOO em 20/04/2013 - 21:57h:
[6] Comentário enviado por eabreu em 20/04/2013 - 17:29h:
Obrigado pelo comentário !
Para gerar o log é só executar a regra que registra antes da regra que irá fazer o filtro.
Abraço !
hehe Sim amigo isso eu sei... :-D
O problema e fazer um logs do que cair na Politica padrão, entendeu??
Regra:
iptables -P INPUT DROP
Como fazer log dessa regra??
Mesma dúvida minha! :D
Testado e aprovado, boa demais essa dica e o melhor, tudo muito explicado, cada passo funcionou perfeitamente.
Muito obrigado.
Bom dia Edson!
Por favor, me diz ai como faço para ver o relatório de meu computador da rede, e não pelo servidor. Digito algo parecido como no sarg? ip_da_maq/squid-reports? Obrigado.
Cara me desculpe, não tinha visto que voce já havia informado no tuto.
Patrocínio
Destaques
Artigos
Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado
Instalar e Configurar o Slackware Linux em 2025
Como configurar os repositórios do apt no Debian 12 em 2025
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Dicas
Configurando o Conky para iniciar corretamente no sistema
3 configurações básicas que podem melhorar muito a sua edição pelo editor nano
Como colorir os logs do terminal com ccze
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Tópicos
firefox nao guarda meus logins nos sites (1)
Instalar debian testing (13) "por cima" do debian 12 (2)
Erro de segmentação «Segmentation fault (core dumped)» ao retornar obj... (1)
Top 10 do mês
-
Xerxes
1° lugar - 82.548 pts -
Fábio Berbert de Paula
2° lugar - 59.738 pts -
Buckminster
3° lugar - 19.791 pts -
Mauricio Ferrari
4° lugar - 19.326 pts -
Daniel Lara Souza
5° lugar - 16.678 pts -
Alberto Federman Neto.
6° lugar - 16.330 pts -
Diego Mendes Rodrigues
7° lugar - 15.702 pts -
edps
8° lugar - 15.093 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 13.712 pts -
Andre (pinduvoz)
10° lugar - 12.571 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
