请告诉我们如何提高我们的文档：

过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
--选择-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) 其他语言 其他

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见？

前往问卷调查不。谢谢。

处理 IP 过滤器的日志文件

表 5-4 使用 IP 过滤器的日志文件（任务列表）

如何为 IP 过滤器设置日志文件

缺省情况下，IP 过滤器的所有日志信息都记录在 syslogd 文件中。创建日志文件来单独记录 IP 过滤器流量信息以将其与可能记录在缺省日志文件中的其他数据相区分不失为一个良好做法。

开始之前

您必须承担 root 角色。

1. 确定联机的 system-log 服务实例。

   # svcs system-log
   STATE          STIME    FMRI
   disabled       13:11:55 svc:/system/system-log:rsyslog
   online         13:13:27 svc:/system/system-log:default

   ---

   注 - 如果 rsyslog 服务实例联机，请修改 rsyslog.conf 文件。

   ---

2. 通过添加以下两行来编辑 /etc/syslog.conf 文件：

   # Save IP Filter log output to its own file 
   local0.debug             /var/log/log-name

   ---

   注 - 在条目中使用 Tab 键而不是空格键来分隔 local0.debug 与 /var/log/log-name。有关更多信息，请参见 syslog.conf(4) 和 syslogd(1M) 手册页。

   ---

3. 创建新日志文件。

   # touch /var/log/log-name

4. 刷新 system-log 服务的配置信息。

   # svcadm refresh system-log:default

   ---

   注 - 如果 rsyslog 服务联机，请刷新 system-log:rsyslog 服务实例。

   ---

示例 5-16 创建 IP 过滤器日志

以下示例说明如何创建 ipmon.log 以归档 IP 过滤器信息。

在 /etc/syslog.conf 中：

## Save IP Filter log output to its own file 
local0.debug<Tab>/var/log/ipmon.log

在命令行中：

# touch /var/log/ipmon.log
# svcadm restart system-log

如何查看 IP 过滤器的日志文件

开始之前

已完成如何为 IP 过滤器设置日志文件。

您必须成为分配有 "IP Filter Management"（IP 过滤器管理）权限配置文件的管理员。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

• 查看状态日志文件、NAT 日志文件或常规日志文件。

  要查看日志文件，请键入以下命令，并使用适当的选项：

  # ipmon -o [S|N|I] filename

  S

  显示状态日志文件。

  N

  显示 NAT 日志文件。

  I

  显示常规 IP 日志文件。

  • 要查看所有状态日志文件、NAT 日志文件和常规日志文件，请使用所有选项：

    # ipmon -o SNI filename

  • 停止 ipmon 守护进程后，您可以使用 ipmon 命令来显示状态日志文件、NAT 日志文件和 IP 过滤器日志文件：

    # pkill ipmon
    # ipmon -a filename

    ---

    注 - 如果 ipmon 守护进程仍在运行，请勿使用 ipmon -a 语法。通常，该守护进程会在系统引导期间自动启动。发出 ipmon -a 命令还会打开 ipmon 的另一个副本。在此情况下，两个副本将读取相同的日志信息，只有一个副本会获得特定日志消息。

    ---

  有关查看日志文件的更多信息，请参见 ipmon(1M) 手册页。

示例 5-17 查看 IP 过滤器的日志文件

以下示例显示了来自 /var/ipmon.log 的输出。

# ipmon -o SNI /var/ipmon.log
02/09/2012 15:27:20.606626 net0 @0:1 p 129.146.157.149 -> 
129.146.157.145 PR icmp len 20 84 icmp echo/0 IN

或

# pkill ipmon
# ipmon -aD /var/ipmon.log
02/09/2012 15:27:20.606626 net0 @0:1 p 129.146.157.149 -> 
129.146.157.145 PR icmp len 20 84 icmp echo/0 IN

如何刷新包日志缓冲区

此过程可清除缓冲区并在屏幕上显示输出。

开始之前

您必须成为分配有 "IP Filter Management"（IP 过滤器管理）权限配置文件的管理员。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

• 刷新包日志缓冲区。

  # ipmon -F

示例 5-18 刷新包日志缓冲区

以下示例显示删除日志文件时的输出。即使未在日志文件中存储任何内容，系统也将提供一个报告，如此示例所示。

# ipmon -F
0 bytes flushed from log buffer
0 bytes flushed from log buffer
0 bytes flushed from log buffer

如何将记录的包保存到文件中

您可以在调试过程中或希望手动审计流量时将包保存到文件中。

开始之前

您必须承担 root 角色。

• 将记录的包保存到文件中。

  # cat /dev/ipl > filename

  继续将包记录到 filename 文件中，直到您通过键入 Ctrl-C 组合键使命令行提示符重新出现来中断该过程。

示例 5-19 将记录的包保存到文件中

以下示例显示将记录的包保存到文件中时所出现的结果。

# cat /dev/ipl > /tmp/logfile
^C#

# ipmon -f /tmp/logfile
02/09/2012 15:30:28.708294 net0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 52 -S IN
02/09/2012 15:30:28.708708 net0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2012 15:30:28.792611 net0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 70 -AP IN
02/09/2012 15:30:28.872000 net0 @0:1 p 129.146.157.149,33923 -> 
 129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2012 15:30:28.872142 net0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 43 -AP IN
02/09/2012 15:30:28.872808 net0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2012 15:30:28.872951 net0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 47 -AP IN
02/09/2012 15:30:28.926792 net0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN 
.
.
(output truncated)