iptables+rsyslog(syslog)+logrotate访问日志分析

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了iptables+rsyslog(syslog)+logrotate访问日志分析相关的知识,希望对你有一定的参考价值。

   最近,因为相应的业务需求需要对服务器的相应服务做访问分析,在做之前大致思考了下,可以利用iptables的log日志功能用来做相应的日志分析,在此就以做ssh端口访问做日志分析来简单讲解下,在实际生产环境下也可以根据实际情况调整,可以用来做WEB服务等等的相应的访问日志分析。

   首先,在使用日志分析之前最重要的就是iptables的log功能,至于iptables中的log功能使用 也很简单,在开启后会把日志写入/var/log/messages内核日志中,而iptables的日志功能使用的几个参数也很简单,如下:

--log-level level        记录级别
--log-prefix prefix      在纪录信息前加上特定的前缀:最多14个字母长,用来和记录中其他信息区别。
--log-tcp-sequence       记录TCP序列号。使用此日志会打印tcp的重要信息,要注意日志的相应权限,确保信息不泄露。
--log-tcp-options        记录来自TCP包头部的选项,tcp3次握手的一些具体信息。
--log-ip-options         记录来自IP包头部的选项,源ip目的ip的详细信息。

因为分析的服务是tcp的端口那么在这里就每一次的NEW的信息写入日志,而系统日志都是通过rsyslog进行管理日志的,rsyslog是syslog的升级版,在Centos中的6.9及其以上版本和大部分的Ubuntu系统中都是使用rsyslog,而升级后的rsyslog在功能更强大后基本的配置同syslog差不多,当然如果是旧版的系统中使用syslog也是可以的,而syslog在以前有提过,在此就不做过多的说明了,需要的可以参看:http://jim123.blog.51cto.com/4763600/1879393,而在定义iptables的中日志级别的参数中日志级别就是使用rsyslog,如果没有定义默认级别是4,而主要的日志级别,大致如下:

等级
等级名称
说明
1
info
一些基本信息说明,这个级别日志也最为详细
2
notice
除了info级别外还多一些需要注意的信息
3
warning(warn)
警告信息,可能会出现的问题,还还不至于影响某个进程
4
err(error)
一些重大的错误信息,一般err信息就可以就可以排查相应的问题了
5
crit
比err更为重要的错误信息,一般到这个级别错误就很严重了
6
alart
警告比crit更为严重
7
emerg(panic)
panic级别,快要死机的状态,很严重的错误信息

当然rsyslog日志中还有2个级别debug(错误检测等级)和none(不需要登录等级),一般很少使用,而在iptables的日志是写在内核日志中,那么为了便于收集日志用来分析,那么可以修改rsyslog日志的配置文件重新指定下iptables的日志,追加以下这一行,然后重启rsyslog,这里日志级别也可以使用warning级别,在此就用*代表收集所有日志

[[email protected] ~]# echo "kern.* /var/log/iptables.log" >> /etc/rsyslog.conf
[[email protected] ~]# /etc/init.d/rsyslog restart

当然,如果是做WEB的80端口分析,可能日志会非常多,那么就需要使用logrotate用来切割日志做分析

,logrotate的配置以前也有提过此处就不做更多的赘述了,需要可以参看:http://jim123.blog.51cto.com/4763600/1880582

配置如下:

[[email protected] ~]# vim /etc/logrotate.d/iptables
/var/log/iptables.log {
        
        copytruncate
        daily
        rotate 7
        dateext
        missingok
        compress
        create 600 root root
}
[[email protected] ~]# echo "59 23 * * * /usr/sbin/logrotate -f /etc/logrotate.conf" >> /var/spool/cron/root

在iptables中添加一条策略,把要做日志分析的服务端口做记录:

[[email protected] ~]# vim /etc/sysconfig/iptables
…略…
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -j LOG --log-prefix "ssh_access-" --log-tcp-sequence --log-tcp-options --log-ip-options
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
[[email protected] ~]# /etc/init.d/iptables restart

最后在添加一条logrotate定时任务使日志切割生效即可,总之用这套日志分析方案可以解决很多需要分析日志的服务,不过要注意写好iptables的相应规则及logrotate日志切割日志,以免日志太大塞满磁盘。

本文出自 “技术随笔” 博客,谢绝转载!

以上是关于iptables+rsyslog(syslog)+logrotate访问日志分析的主要内容,如果未能解决你的问题,请参考以下文章

linux下syslog和rsyslog

syslog-ng VS. rsyslog

有关 rsyslog 的信息是不是适用于 syslog?

Rsyslog 解析问题 - 发送到 Rsyslog 的 syslog 消息中没有标头

syslog和rsyslog可否同时使用

应用程序的日志通过rsyslog推送到syslog服务器