为什么我的iptables日志不？

Question

我在Ubuntu16.04上运行了一个linux服务器。今天我安装了PSAD入侵检测系统。

PSAD是通过分析iptable的日志文件来工作的。因此，在使用PSAD之前要做的第一件事是启用iptables日志记录。

sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG

我做了个端口扫描，然后打电话给PSAD状态。它应该显示端口扫描发生了，但没有显示任何内容。只是还没做过端口扫描。

过了一段时间后，我意识到iptables没有登录。没有日志文件中有iptable日志。我查了一下

• /var/log/messages，默认情况下它们应该在其中，但是文件是空的。
• /var/log/kern.log
• /var/log/syslog

什么都没有。也许值得注意的是，我使用UFW。我跟踪了一个关于PSAD和UFW的教程，但还是什么也没发生。在本教程中创建的新文件中也没有日志。

可能是什么原因？我还没有自己设置服务器。最重要的安全措施已经在我面前完成了。也许他们拿走了一些包裹。如果你能帮我，那就太好了，服务器必须是安全的。

Answer 1

IP表中的规则从上到下被应用。

无论何时，规则应用于包时，它都会按照规则定义的方式处理，并且(如果没有配置不同的话)会导致规则链离开。

这意味着，如果您的日志规则位于其他规则的下面，它将只适用于以前没有被规则处理的包。

如果您想要记录每个包，请将日志规则放在指定规则链的顶部。

顺便说一句: iptables的默认日志文件在/var/log/kern.log中

Answer 2

可能在(r)syslog中禁用了内核日志。将其添加到/etc/rsyAdd.1-.conf文件中：kern.warn /var/log/firewall.log并重新加载syslog。

之后，制定一些规则，比如，iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning

扫描你的SSH端口。

Answer 3

取消/etc/rsyslog.conf中的行注释：

module(load="imklog") # provides kernel logging support

那就跑

service rsyslog restart

使用

tail -f /var/log/syslog

或：

date; stat /var/log/syslog