如何用Debian iptables進行日志分析

一、配置iptables日志記錄

1. 添加日志規則
   使用-j LOG目標記錄流量，可指定前綴和級別，例如：

   iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH-IN: " --log-level 4
   

   • --log-prefix：為日志添加可識別前綴（如"SSH-IN"）。
   • --log-level：控制日志詳細程度（4為警告級別，可調整）。

2. 保存規則

   apt install iptables-persistent
   netfilter-persistent save
   

二、查看日志

1. 直接查看日志文件

   • 默認存儲在/var/log/kern.log，使用grep過濾：

     grep "SSH-IN" /var/log/kern.log
     

   • 若使用rsyslog，可能需檢查/etc/rsyslog.conf確認日志路徑。

2. 實時查看

   tail -f /var/log/kern.log | grep "SSH-IN"
   

3. 使用journalctl（systemd系統）

   journalctl -k | grep "SSH-IN"  # 查看內核日志中的iptables記錄
   

三、高級分析

1. 文本工具處理

   • 用awk統計日志條目數量：

     awk '/SSH-IN/ {count++} END {print count}' /var/log/kern.log
     

   • 用sed提取特定字段（如IP地址）：

     sed -n 's/.*SRC=\([0-9\.]*\).*/\1/p' /var/log/kern.log | sort | uniq -c
     

2. 日志輪轉管理
   編輯/etc/logrotate.d/syslog，設置日志切割頻率（如按天/周），避免文件過大。

四、安全建議

• 限制日志級別，避免記錄過多冗余信息（如將--log-level設為6僅記錄信息級日志）。
• 定期清理舊日志，可通過logrotate自動歸檔。
• 敏感日志需限制訪問權限，遵守隱私政策。

參考來源：