CENTOS FIREWALLD防火墙学习笔记(九)- Firewalld配置记录日志及用途
CentOS操作系统中Firewalld防火墙默认是不记录日志的,如果服务器性能允许,可以通过修改配置文件,使Firewalld防火墙记录日志,这样我们可以通过防火墙记录的日志,查询过滤拒绝的非法ip,把这些ip放入到黑名单中。
修改配置文件:/etc/firewalld/firewalld.conf
![1bc9f3c42695be11ae03f0835f567d0c.png](https://img-blog.csdnimg.cn/img_convert/1bc9f3c42695be11ae03f0835f567d0c.png)
修改为:LogDenied=all
off:默认值,不记录被拒的包
all:记录所有被拒的包
重启Firewalld服务使其生效,命令:
systemctl restart firewalld
验证配置是否生效的方法:
重启服务前后使用命令查看配置选项的值:firewall-cmd --get-log-denied
![38a2673dff0e0d092a647b569610d2db.png](https://img-blog.csdnimg.cn/img_convert/38a2673dff0e0d092a647b569610d2db.png)
测试Firewalld被拒数据包后是否记录日志:
使用另外的电脑,telnet该服务器,端口为未开放的端口。
如:telnet 10.41.1.97 333
![bcc3b83707fe5e0ad3505090f12960c6.png](https://img-blog.csdnimg.cn/img_convert/bcc3b83707fe5e0ad3505090f12960c6.png)
在服务器上查看reject日志:
命令:dmesg |grep -i reject|grep 10.41.5.88
![e9d0e0acc593f44141b03d38bc16418c.png](https://img-blog.csdnimg.cn/img_convert/e9d0e0acc593f44141b03d38bc16418c.png)
把日志记录到文件:
创建文件/etc/rsyslog.d/firewalld.conf
内容:
kern.* /var/log/firewalld.log
修改配置文件/etc/logrotate.d/syslog
内容:
![1c4c0dbf5a06feb3146c96b900733aed.png](https://img-blog.csdnimg.cn/img_convert/1c4c0dbf5a06feb3146c96b900733aed.png)
重启rsyslog服务:
命令:systemctl restart rsyslog.service
日志文件被创建,telnet 10.41.1.97 333有拒绝日志产生
![879171390ae59102fd041794b0fa9344.png](https://img-blog.csdnimg.cn/img_convert/879171390ae59102fd041794b0fa9344.png)
通过命令查看被拒绝最多的ip地址:
命令:grep 'FINAL_REJECT' /var/log/firewalld.log |awk '{print $10}'|sort -n |uniq -c |sort -k1nr|head -10
![2b47453d17fc3ec0d52e4cbfd75ea2d5.png](https://img-blog.csdnimg.cn/img_convert/2b47453d17fc3ec0d52e4cbfd75ea2d5.png)