Iptables Log Analyzer

Publicado por Luiz Cezar em 04/09/2011

[ Hits: 11.497 ]

0 0

Denuncie Favoritos Indicar Impressora

Iptables Log Analyzer

Analise os logs gerados pelo seu firewall Iptables usado a ferramenta web Iptables Log Analyzer

Para o Iptables Log Analyzer funcionar é necessário os seguintes pacotes instalados:

Apache
MySQL
PHP5
Perl

Baixe o arquivo do Iptables Log Analyzer e descompacte:

wget -c http://www.gege.org/iptables/iptables_logger_v0.4.tar.gz
tar zxvf iptables_logger_v0.4.tar.gz

Configurando o MySQL

Configure o banco de dados conforme abaixo:

mysql -u root -p
mysql > create database iptables
mysql > grant create,select,insert,update on iptables.* to iptables_admin@localhost identified by 'xx';
mysql > grant select,insert,update on iptables.* to iptables_user@localhost identified by 'xx';
mysql > grant create temporary tables on iptables.* to iptables_user@localhost identified by 'xx';

Depois, é só efetuar os seguintes comandos:

cd iptables mysql -u root -p iptables < sql/db.sql

Arquivos de configuração:

Prepare o arquivo "feed_db.pl", que fará a leitura dos logs do iptables:

cd ../scripts vi feed_db.pl

Deixe desse jeito:

my $dsn = 'DBI:mysql:iptables:localhost';
my $db_user_name = 'iptables_admin';
my $db_password = 'xxxx';
my $log_file = '/var/log/messages';
my $pid_file = "/var/run/iptablelog.pid"
my($log_tag)="IPTABLES";

A variável $log_file, é a linha onde o seu firewall grava os logs. A maioria grava direto no messages, mas em alguns casos (com edição do syslog-ng e syslog comum), você pode jogar os logs do iptables para um arquivo específico e a variável $log_tag coloque o que o seu Iptables loga em -log-prefix.

Mova os arquivos "feed_db.pl" e "iptablelog":

# mv fee_db.pl /usr/local/bin/
# mv iptablelog /etc/init.d/

Edite a linha 22 do arquivo "iptablelog" e deixe conforme abaixo:

# vi /etc/init.d/iptablelog

Altere para:

start-stop-daemon --start --quiet --pidfile /var/run/$NAME.pid --exec $DAEMON &

Configurando os arquivos web

O próximo passo tem que saber em qual diretório de sua distribuição o apache tem seu SERVER ROOT setado, ou seja, onde está configurado o diretório padrão de arquivos web no seu server.

No Debian ficará dessa maneira:

cd ..
# cp -R web /var/www/iptables

Dentro do diretório onde estão os arquivos web edite o arquivo config.php:

# cd /var/www/iptables
# vi config.php

Deixe assim:

# Host do banco de dados MySQL
$db_host="localhost";
# Usuario da base mysql
$db_user="iptables_user";
# Senha da sua base mysql MySQL database
$db_password="suporte";
# Nome da database
$db_name="iptables";
# Endereço url da sua instalação, do tipo http://seuservidor.com.br/iptables
$url_base="/iptables/";

Finalizando

Inclua o arquivo "iptablelog" na inicialização do sistema, no Debian seria:

# update-rc.d iptablelog defaults

Inicie o arquivo para capturar os dados:

# /etc/init.d/iptablelog start

Tudo pronto acesse do seu navegador favorito:

http://<ipdamaquina>/iptables

Referências: http://www.ataliba.eti.br/node/1441

Outras dicas deste autor

Nenhuma dica encontrada.

Leitura recomendada

Entendendo as permissões de arquivos no Linux

NeoGeo no Linux

Instalando JDK em várias arquiteturas com o Colibri

Acesso negado para root no MySQL e PhpMyAdmin

Replicação no LDAP com slurp

Comentários

[1] Comentário enviado por removido em 04/09/2011 - 19:49h

Boa dica !

0 0

[2] Comentário enviado por brunocontin em 28/01/2012 - 11:43h

Brow, bom dia, me ajuda aí está dando esse erro aqui ao copilar.

Starting iptables logfile analyzer: syntax error at /usr/local/bin/feed_db.pl line 54, near "my "
Global symbol "$go_to_background" requires explicit package name at /usr/local/bin/feed_db.pl line 54.
Global symbol "$go_to_background" requires explicit package name at /usr/local/bin/feed_db.pl line 82.
Execution of /usr/local/bin/feed_db.pl aborted due to compilation errors.

0 0