利用PSAD分析iptables ULOG日志
考慮讓linux發現有端口掃描的時候自動報警,debian上看到有一個psad,就先試用一下,順帶把iptables配置成支持ulog的日志輸出。
-A INPUT -p TCP --dport 22 -j ULOG --ulog-prefix "SSH connection attempt: "
-A INPUT -p TCP -j ULOG --ulog-prefix "TCP connect"
-A INPUT -p icmp -j ULOG --ulog-prefix "ICMP"
ulog輸出日志在:/var/log/ulog/syslogemu.log
psad分析如下:
psad --CSV --CSV-fields "SRC SPT DST DPT" --CSV-max 1000 -m /var/log/ulog/syslogemu.log
-A INPUT -p TCP --dport 22 -j ULOG --ulog-prefix "SSH connection attempt: "
-A INPUT -p TCP -j ULOG --ulog-prefix "TCP connect"
-A INPUT -p icmp -j ULOG --ulog-prefix "ICMP"
ulog輸出日志在:/var/log/ulog/syslogemu.log
psad分析如下:
psad --CSV --CSV-fields "SRC SPT DST DPT" --CSV-max 1000 -m /var/log/ulog/syslogemu.log
注意!
本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。