FwLogWatch - Analisando Registros do IPtables

Neste artigo, irei abordar o uso da ferramenta fwlogwatch para gerar relatórios de registros do IPtables, tornando sua
leitura facilmente legível, permitindo fazer uma melhor análise dos Logs.

[ Hits: 41.069 ]

Por: Edson em 06/02/2012


Introdução e instalação



Introdução

O fwlogwatch é uma ferramenta usada para análise de registros de Log e geração de relatórios personalizados, além de poder ser configurada para notificar, caso seja configurada para este propósito.

O fwlogwatch gera relatórios a partir das entradas de Log de arquivos especificados via linha de comando ou arquivo de configuração, deixando os Logs do IPtables em formatos facilmente legíveis, em texto puro ou no formato HTML.

O HTML é bem mais interessante, já que pode comunicar-se com um servidor WEB e de onde estivermos, poderemos verificar os nossos Logs.

Além disso, ele tem um recurso bastante interessante que pode gerar relatórios em tempo real e também, ser visualizado pelo browser sem ter a necessidade de ter um servidor WEB instalado na mesma máquina onde estão os relatórios.

Pode ser também reportados os eventos, caso ocorra alguma anomalia e enviando mensagens como uma notificação por e-mail ou via PopUP para um determinado local.

Mas, para este artigo, irei abordar apenas o uso do mesmo para gerar arquivos em HTML, para visualização do Logs de forma legível.

Instalação

A instalação do fwlogwatch abordada no artigo será feita sobre as distros Debian 6.0.3 e CentOS 6.0. E o melhor, sem ter que compilar.

Para instalar no Debian, basta apenas usar o gerenciador de pacotes APT-GET ou APTITUDE, executando o comando como Root:

# aptitude update
# aptitude install fwlogwatch ou apt-get install fwlogwatch


No CentOS 6.0, você primeiro deve adicionar ou atualizar o repositório RPMforge e instalar pelo gerenciador de pacotes YUM:

# wget -c http://apt.sw.be/redhat/el6/en/i386/rpmforge/RPMS/rpmforge-release-0.5.2-1.el6.rf.i686.rpm
# rpm -Uvh rpmforge-release-0.5.2-1.el6.rf.i686.rpm
# yum install fwlogwatch


Após instalar a ferramenta, vamos colocar a mão na massa.
    Próxima página

Páginas do artigo
   1. Introdução e instalação
   2. Gerando relatórios via linha de comando
   3. Automatizando relatórios
   4. Centralizando Logs do IPtables e Acessando via WEB
Outros artigos deste autor

Compilando Kernel no CentOS 6.0

Udev - Funcionamento e Regras

Apresentando o Btrfs - Nova geração de sistema de arquivos para GNU/Linux

Clonezilla - Servidor de imagens (Parte II)

Clonezilla - Gerando e restaurando backups completos (Parte I)

Leitura recomendada

Guia de referência do ISOLINUX (parte 1)

Geração de arquivos PDF no Linux

SpiderOak - Armazenamento Grátis

Google AdSense vs Layout de websites

Instalando o Dynebolic sem instalador

  
Comentários
[1] Comentário enviado por DanielVieceli755 em 07/02/2012 - 11:34h

Opa, gostei vou tentar rodar aqui. valeu

[2] Comentário enviado por rrafael em 07/02/2012 - 15:36h

Amigo muito bom.. tive só um probleminha no OPENSUSE..mas agora esta zerado..!!

[3] Comentário enviado por verovan em 09/05/2012 - 18:05h

Cara, valeu ajudou muito aqui, mas no relatório teria como mostrar os destino externos? pegar acesso aqui da minha rede para uma rede externa

[4] Comentário enviado por eabreu em 09/05/2012 - 18:31h

você poderia criar um regra de log antes da regra principal dizendo para registar acessos da sua rede local para um ip externo.

depois é só gerar os relatórios e analisar podendo filtrar também.

[5] Comentário enviado por Carlos_Cunha em 18/04/2013 - 14:37h

Opa!
Muito bom esse artigo, irei testar hj...
Porém uma coisa que numca consegui foi por exemplo, minha politica padrão e DROP de INPUT e FORWARD, gostaria de jogar para log só o que cair nessa politica, dai faria um relatorio so desse tentativas...
teria algums ideia de como fazer isso??

Abraço

[6] Comentário enviado por eabreu em 20/04/2013 - 17:29h

Obrigado pelo comentário !

Para gerar o log é só executar a regra que registra antes da regra que irá fazer o filtro.

Abraço !

[7] Comentário enviado por Carlos_Cunha em 20/04/2013 - 21:57h


[6] Comentário enviado por eabreu em 20/04/2013 - 17:29h:

Obrigado pelo comentário !

Para gerar o log é só executar a regra que registra antes da regra que irá fazer o filtro.

Abraço !


hehe Sim amigo isso eu sei... :-D
O problema e fazer um logs do que cair na Politica padrão, entendeu??

Regra:
iptables -P INPUT DROP

Como fazer log dessa regra??

[8] Comentário enviado por brunnus em 06/09/2013 - 11:43h


[7] Comentário enviado por PretooOO em 20/04/2013 - 21:57h:


[6] Comentário enviado por eabreu em 20/04/2013 - 17:29h:

Obrigado pelo comentário !

Para gerar o log é só executar a regra que registra antes da regra que irá fazer o filtro.

Abraço !

hehe Sim amigo isso eu sei... :-D
O problema e fazer um logs do que cair na Politica padrão, entendeu??

Regra:
iptables -P INPUT DROP

Como fazer log dessa regra??


Mesma dúvida minha! :D

[9] Comentário enviado por Cesar29 em 08/04/2014 - 15:19h

Testado e aprovado, boa demais essa dica e o melhor, tudo muito explicado, cada passo funcionou perfeitamente.

Muito obrigado.

[10] Comentário enviado por petabyte em 28/04/2014 - 10:29h

Bom dia Edson!

Por favor, me diz ai como faço para ver o relatório de meu computador da rede, e não pelo servidor. Digito algo parecido como no sarg? ip_da_maq/squid-reports? Obrigado.


[11] Comentário enviado por petabyte em 28/04/2014 - 10:31h

Cara me desculpe, não tinha visto que voce já havia informado no tuto.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts