端口扫描日志在哪里？

Question

如果我对标准CentOS-7/RHEL-7服务器或桌面执行端口扫描，在哪里可以看到日志？我搜索了/var/log目录，但没有看到任何与端口扫描相关的日志。

注:我用了# nmap -p 1-65000 target-ip-address

在Kali linux (扫描机)和CentOS-7服务器(目标机器)之间没有防火墙。两者通过交换机连接，属于同一个子网和同一个vlan。我可以平目标机，我也可以看到开放的端口。但我需要原木。在CentOS服务器端，我看不到它们。

Answer 1

您希望客户端上的日志文件还是服务器端的日志文件？

如果期望客户端有日志文件，则可以使用正确的nmap参数。有关这些的细节可以在官方手册中找到。要开始的一个基本示例是：nmap -A -oN /tmp/output.log rhelserver1这个命令将在一个名为rhelserver1的系统上运行一个端口扫描，并将输出以“普通”格式保存到/tmp/output.log。

如果您期望服务器端的日志文件，请查看PSAD工具。该工具检测端口扫描并能够报告它们。这个链接是关于Ubuntu的，但是PSAD工具可以在RHEL存储库中使用，并且可以使用yum或dnf安装。

Answer 2

扫描%d检测端口扫描，并通过syslog每扫描写一行。

tail -f /var/log/syslog

saddr[:sport]  to  daddr  [and others,] ports port[, port...], ..., flags[, TOS TOS][, TTL TTL] @HH:MM:SS

斯卡洛德人。如果您使用ufw防火墙，您还可以在/var/log/ufw.log中看到活动。