Tâche |
Description |
Voir |
---|---|---|
Création d'un fichier journal |
Créez un fichier journal Oracle Solaris IP Filter distinct. |
Configuration d'un fichier journal de Oracle Solaris IP Filter |
Affichage des fichiers journaux |
Affichez le fichier journal normal et les fichiers journaux d'état et NAT à l'aide de la commande ipmon. | |
Vidage du tampon de journalisation des paquets |
Supprimez le contenu du tampon de journalisation des paquets à l'aide de la commande ipmon - F. | |
Enregistrement des paquets consignés dans un fichier |
Les paquets consignés peuvent être enregistrés dans un fichier afin d'être consultés par la suite. |
Par défaut, toutes les informations des journaux de Oracle Solaris IP Filter sont enregistrées dans le fichier syslogd. Configurez un fichier journal afin de séparer les informations de trafic Oracle Solaris IP Filter enregistrées des autres données susceptibles d'être consignées dans le fichier journal par défaut. Procédez comme suit.
Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Ajoutez les lignes suivantes au fichier /etc/syslog.conf :
# Save IPFilter log output to its own file local0.debug /var/log/log-name |
Sur la deuxième ligne, séparez local0.debug de /var/log/ journal à l'aide de la touche de tabulation (non la barre d'espace).
Créez le fichier journal.
# touch /var/log/log-name |
Redémarrez le service de journal système.
# svcadm restart system-log |
Dans l'exemple ci-dessous, le fichier ipmon.log est créé pour archiver les informations IP Filter.
Dans /etc/syslog.conf :
# Save IPFilter log output to its own file local0.debug /var/log/ipmon.log |
Sur la ligne de commande :
# touch /var/log/ipmon.log # svcadm restart system-log |
Il est conseillé de créer un fichier journal distinct pour enregistrer les données Oracle Solaris IP Filter. Reportez-vous à la section Configuration d'un fichier journal de Oracle Solaris IP Filter.
Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Affichez le fichier journal normal, le fichier journal NAT ou le fichier journal d'état. Pour afficher un fichier journal, tapez la commande ci-dessous, conjointement avec l'option adéquate :
# ipmon -o [S|N|I] filename |
Affiche le fichier journal d'état.
Affiche le fichier journal NAT.
Affiche le fichier journal IP normal.
Pour afficher le fichier journal normal et les fichiers journaux d'état et NAT, appliquez les options :
# ipmon -o SNI filename |
Si, dans un premier temps, vous avez arrêté manuellement le démon ipmon, vous pouvez également exécuter la commande suivante pour afficher le fichier journal de Oracle Solaris IP Filter et les fichiers journaux d'état et NAT :
# ipmon -a filename |
N'utilisez pas la syntaxe ipmon -a si le démon ipmon est en cours d'exécution. Normalement, le démon démarre automatiquement à l'initialisation du système. Si vous exécutez la commande ipmon -a, une autre copie de ipmon s'ouvre également. Dans ce cas, les deux copies lisent les mêmes informations de journal, mais tout message du journal n'est reçu que par l'une d'elles.
Pour plus d'informations sur l'affichage des fichiers journaux, reportez-vous à la page de manuel ipmon(1M).
L'exemple ci-dessous présente la sortie du fichier /var/ipmon.log.
# ipmon -o SNI /var/ipmon.log 02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN |
ou
# pkill ipmon # ipmon -aD /var/ipmon.log 02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN |
Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Videz le tampon de journalisation des paquets.
# ipmon -F |
L'exemple ci-dessous présente la sortie obtenue en cas de suppression d'un fichier journal. Le système génère un rapport même si le fichier journal est vide, comme dans cet exemple.
# ipmon -F 0 bytes flushed from log buffer 0 bytes flushed from log buffer 0 bytes flushed from log buffer |
Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Enregistrez dans un fichier les paquets consignés.
# cat /dev/ipl > filename |
Continuez la journalisation des paquets dans le fichier et interrompez la procédure en tapant Ctrl-C pour afficher de nouveau l'invite de ligne de commande.
L'exemple ci-dessous présente les résultats obtenus lorsque les paquets consignés sont enregistrés dans un fichier.
# cat /dev/ipl > /tmp/logfile ^C# # ipmon -f /tmp/logfile 02/09/2004 15:30:28.708294 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 52 -S IN 02/09/2004 15:30:28.708708 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.792611 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 70 -AP IN 02/09/2004 15:30:28.872000 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.872142 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 43 -AP IN 02/09/2004 15:30:28.872808 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2004 15:30:28.872951 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 47 -AP IN 02/09/2004 15:30:28.926792 hme0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN . . (output truncated) |