terça-feira, setembro 19, 2017
Home » Linux » iptables » Logs no Iptables – Parte III – fwlogwatch

Logs no Iptables – Parte III – fwlogwatch

Saudações leitores, dando continuidade ao nosso artigo sobre log no iptables, vamos falar agora do FWLogWatch.

Como o próprio nome sugere, o fwlogwatch é um programa que analisa os logs gerados por vários softwares de firewall, entre eles: ipchains, iptables, ipfilter, Cisco PIX, Snort, Netscreen e pasmem, até o Windows XP Firewall. O fwlogwatch podem gerar relatórios em texto puro ou HMTL. O html é formidável, dado que é bem mais agradável, com mais opções e de podermos acessar de qualquer lugar pela web.

Instalação do fwlogwatch

Bom, vamos ao trabalho, começaremos a instalar o fwlogwatch:

apt-get update
apt-get install fwlogwatch
Durante a instalação, algumas perguntas serão feitas sobre o modo de envio de email, leia as instruções que o próprio programa lhe exibirá e instale.

Com a instalação concluída, verifique se existe o arquivo /etc/fwlogwatch/fwlogwatch.config, pois como o nome sugere, este arquivo contém as configurações do fwlogwatch. Vale ressaltar que por padrão, todas as opções do fwlogwatch vêm desabilitadas, e por enquanto, deixaremos assim e usuremos as opções que desejamos usando comandos específicos. Mais pra frente aprenderemos a usar o arquivo de configuração e usaremos o programa apenas digitando o nome dele no shell.

Como vamos trabalhar com relatórios em html é fundamental que seu server iptables tenha um browser para ler tais arquivos. Presumindo que seu iptables está em um Linux sem GUI, iremos instalar o lynx, um browser leve que nos ajudará a exibir os relatórios em html. Para instalá-lo:

apt-get install lynx

A partir de agora, basta digitar lynx seguido do nome do arquivo para abrir o relatório.

Gerando relatórios

Agora que já o temos instalado, vamos gerar nosso primeiro relatório com base no log que nosso iptables gerou em /var/log/iptables.log

fwlogwatch /var/log/iptables.log -w -o index.html

entendendo a linha cima:

fwlogwach -> Chama o programa
/var/log/iptables.log -> Nome do arquivo com os enventos
-w -> Indica saída do tipo html
-o index.html -> Indica o nome do arquivo que será gerado

Relatorio visto pelo lynx - clique para ampliar

 

mesmo relatorio visto pelo Firefox - clique para ampliar

Vamos agora ver mais um exemplo simples de relatório, agora trazendo os ultimos 3 dias, porta de origem (-s), porta de destino (-d) e saída em html (-w). Vejamos:

fwlogwatch /var/log/iptables.log -t -l 3d -d -s -U “Relatório teste” -M100 -w -o rpt5.html

Entendendo os comandos novos:

-l  3d -> tempo do relatorio, podendo ser em dias (d) e horas (h)
-s -> porde de origem
-d -> porta de destino
-t -> mostra a data e hora do log
-U -> Titulo do relatório
-M -> Numero de linhas que serão analisadas (do mais recente ao mais velho)

Resultado Final:

Caso queiramos filtrar uma porta específica, basta adicionar -Eipd5000, onde 5000 é o número da porta desejada.

Bom, com estes exemplos, creio que já consigamos criar diversos relatórios e filtros; para se ver o manual do fwlogwatch, basta executar:

man fwlogwatch

Assim encerramos a 3ª parte do artigo de Logs no iptables. Assine o feed do purainfo e seja avisado quando a 4ª parte for postada, além de matérias de outros assuntos de Ti.

Em caso de dúvidas ou sugestões, comente! Fico por aqui, abraço a todos.

Link para parte I | Link para parte II

Sobre Diego Duarte

Diego Duarte Atua como coordenador de NOC, toca um violãozinho nas horas vagas e tenta eternamente entender o que o fez escolher TI

Veja também!

Iptables – Tabela Mangle

Tabela Mangle nada mais é que a tabela usada para marcar pacotes. Em cada pacote de dados há um cabeçalho, e neste cabeçalho há campos que podem ser marcados. Com tais marcações podemos criar regras de modo que se obtém prioridade de serviços, tempo de vida de pacotes, entre outros.

Um comentário

Este artigo lhe foi útil? comente e ajude outros acrescentando seu ponto de vista!