FwLogWatch - Analisando Registros do IPtables

removido

Neste artigo, irei abordar o uso da ferramenta fwlogwatch para gerar relatórios de registros do IPtables, tornando sua
leitura facilmente legível, permitindo fazer uma melhor análise dos Logs.

[ Hits: 46.978 ]

Por: Perfil removido em 06/02/2012

0 0

Denuncie Favoritos Indicar Impressora

Automatizando relatórios

Digitar os comandos vistos na página anterior do artigo sempre que quiser ter seu relatório, pode ficar trabalhoso e até cansativo, se vai gerar constantemente e, principalmente, se estiver usando o mesmo em uma empresa.

Nesta parte do artigo, vou tratar de automatizar a tarefa de geração de relatórios usando o arquivo de configuração "/etc/fwlogwatch/fwlogwatch.config", este arquivo é utilizado para automatizar o processo de criação de relatórios de Logs do IPtables.

Caso você o configure, não será necessário especificar opções junto ao comando 'fwlogwatch' rodado em linha de comando, pois o mesmo irá buscar as informações neste arquivo de configuração.

Não vou tratar de mostrar todas opções presentes no arquivo, e sim as opções que irei utilizar para gerar o relatório automatizado e personalizado que será visto mais adiante, por padrão todas as opções estão desativadas.

Primeiro, edite o arquivo com seu editor predileto:

# vim /etc/fwlogwatch/fwlogwatch.config

Abaixo, é mostrado as opções que foram ativadas para criar um relatório visualizando o tráfego aceito na porta 22 do SSH, e farei comentários descrevendo para que servem:

# Está opção indica qual arquivo que tem os logs do iptables e que será lido pelo fwlogwatch.
input = /var/log/firewall/firewall.log

# Mostra a porta de origem no relatório.
src_port = on

# Mostrar a porta de destino relatório.
dst_port = on
# Trata os protocolos diferentes (tcp,udp,icmp).
protocol = on

# Mostra detalhes sobre pacotes TCP.
tcp_opts = on

# A opção abaixo indica um título do relatório personalizado.
title = Porta 22 SSH

# Inclui no relatório o host de destino, no caso você pode trocar o endereço conforme a máquina de destino do pacote.
# Nesse exemplo estou colocando o endereço da máquina que está recebendo a conexão SSH.
include_dst_host = 192.168.213.250

# Com a opção abaixo ativada, irá ser feito um filtro para porta específica.
# A porta 22 do SSH do destino da conexão.
include_dst_port = 22

# Opção para fazer com que o arquivo de saída seja em formato HTML.
html = yes

# Localização do arquivo de saída.
output = /home/edson/ssh.html

# Opção muito interessante para gerar relatórios conforme período, equivale a opção: -l time ('time' podendo ser em dias, horas, minutos, meses e etc).
# abaixo vou mostrar como gerar de 3 horas até o horário atual.
recent = 3h

# As duas opções abaixo correspondem à data inicial e final dos pacotes.
start_times = yes
end_times = yes

# Quantidade de entradas que serão mostradas no relatório, no exemplo 50 ultimas entradas.
maximum = 50

Para finalizar, só falta agora agendar a execução do comando 'fwlogwatch' para gerar os relatórios. No exemplo, vou agendar para gerar aos dez minutos de cada hora todos os dias:

# vim /etc/crontab

Inclua a linha abaixo, no final do arquivo:

10 * * * *   root fwlogwatch

Para visualizar o arquivo criado, acesse o diretório e abra com seu navegador.

Veja como ficou o arquivo "/home/edson/ssh.html", com todo o relatório gerado através das opções habilitadas conforme mostrado acima, acessado pelo navegador em modo texto:

Página anterior Próxima página

Páginas do artigo

   1. Introdução e instalação
   2. Gerando relatórios via linha de comando
   3. Automatizando relatórios
   4. Centralizando Logs do IPtables e Acessando via WEB

Outros artigos deste autor

Slapt-get 0.10.2s - Conceitos Básicos

Navegando na internet com (mais) segurança usando extensões no Mozilla/Firefox

aMSN com fontes bonitas

ArchLinux, uma distro de expressão aqui no VOL

Instalando o CVS no Ubuntu Linux

Leitura recomendada

Aprisionamento Tecnológico

Geração de arquivos PDF no Linux

Subversion (SVN) com autenticação pelo LDAP

Clonando HDs pela rede com UDPCAST

Linux Mint - Num Lock, Caps Lock e brilho no painel

Comentários

[1] Comentário enviado por DanielVieceli755 em 07/02/2012 - 11:34h

Opa, gostei vou tentar rodar aqui. valeu

0 0

[2] Comentário enviado por rrafael em 07/02/2012 - 15:36h

Amigo muito bom.. tive só um probleminha no OPENSUSE..mas agora esta zerado..!!

0 0

[3] Comentário enviado por verovan em 09/05/2012 - 18:05h

Cara, valeu ajudou muito aqui, mas no relatório teria como mostrar os destino externos? pegar acesso aqui da minha rede para uma rede externa

0 0

[4] Comentário enviado por removido em 09/05/2012 - 18:31h

você poderia criar um regra de log antes da regra principal dizendo para registar acessos da sua rede local para um ip externo.

depois é só gerar os relatórios e analisar podendo filtrar também.

0 0

[5] Comentário enviado por Carlos_Cunha em 18/04/2013 - 14:37h

Opa!
Muito bom esse artigo, irei testar hj...
Porém uma coisa que numca consegui foi por exemplo, minha politica padrão e DROP de INPUT e FORWARD, gostaria de jogar para log só o que cair nessa politica, dai faria um relatorio so desse tentativas...
teria algums ideia de como fazer isso??

Abraço

0 0

[6] Comentário enviado por removido em 20/04/2013 - 17:29h

Obrigado pelo comentário !

Para gerar o log é só executar a regra que registra antes da regra que irá fazer o filtro.

Abraço !

0 0

[7] Comentário enviado por Carlos_Cunha em 20/04/2013 - 21:57h

[6] Comentário enviado por eabreu em 20/04/2013 - 17:29h:

Obrigado pelo comentário !

Para gerar o log é só executar a regra que registra antes da regra que irá fazer o filtro.

Abraço !

hehe Sim amigo isso eu sei... :-D
O problema e fazer um logs do que cair na Politica padrão, entendeu??

Regra:
iptables -P INPUT DROP

Como fazer log dessa regra??

0 0

[8] Comentário enviado por brunnus em 06/09/2013 - 11:43h

[7] Comentário enviado por PretooOO em 20/04/2013 - 21:57h:

[6] Comentário enviado por eabreu em 20/04/2013 - 17:29h:

Obrigado pelo comentário !

Para gerar o log é só executar a regra que registra antes da regra que irá fazer o filtro.

Abraço !

hehe Sim amigo isso eu sei... :-D
O problema e fazer um logs do que cair na Politica padrão, entendeu??

Regra:
iptables -P INPUT DROP

Como fazer log dessa regra??

Mesma dúvida minha! :D

0 0

[9] Comentário enviado por Cesar29 em 08/04/2014 - 15:19h

Testado e aprovado, boa demais essa dica e o melhor, tudo muito explicado, cada passo funcionou perfeitamente.

Muito obrigado.

0 0

[10] Comentário enviado por petabyte em 28/04/2014 - 10:29h

Bom dia Edson!

Por favor, me diz ai como faço para ver o relatório de meu computador da rede, e não pelo servidor. Digito algo parecido como no sarg? ip_da_maq/squid-reports? Obrigado.

0 0