Linux系统iptables命中日志测试过程

Linux系统iptables命中日志测试过程

1.添加防火墙策略

方法一：直接在命令行输入iptables规则，重启iptables服务，如图1：

示例：iptales -I INPUT -d 10.10.10.247 -p icmp --icmp-type 8 -j LOG --log-prefi x “‘iptables test by zlc’“

图1

该条策略实现ping本机时，记录日志，并在日志中加入前缀。

注：记录日志的规则一般插入到规则的第一条，防止被放行而不能被记录。

方法二：编辑/etc/sysconfig/iptables,在第一行插入记录日志的规则（同上），重启iptables 服务，如图2：

图2

2.修改syslog配置文件/etc/rsyslog.conf，添加一行”kern.* /var/log/iptables”,使syslog日志

单独存放到一个文件，如图3所示，重启syslog服务。

图3

3.用其他主机ping本机，查看iptables日志，如图4所示：

图4

4．登陆splunk企业版（地址10.10.10.247:8000 用户名admin密码12345678），首页点击添加数据，进入添加数据页面，选择监视如图5：

图5

5．按步骤添加数据：

（1）选择来源，文件和目录，浏览，选择/var/log/iptables,如图6：

图6

（2）设置来源类型为syslog，如图7所示：

图7 （3）输入设置，默认即可，如图8所示：

图8（4）检查，提交，如图9：

图9

6. 搜索数据，将iptables里的LOG前缀作为关键字进行搜索，多个关键字用空格隔开，如图10所示：

图10

注：搜索时也可以通过正则的方式，将字段（可自定义）内容用正则表示，格式如下：| regex (<字段名称>=|<字段名称>!=|)

7. 将搜索出的日志，另存为告警，如图11：

图11

8.设置告警，如图12所示，一分钟内ping本机超过十次，则告警。

保存，在告警页面查看