跳过导航链接 | |
退出打印视图 | |
![]() |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
表 5-4 使用 IP 过滤器的日志文件(任务列表)
|
缺省情况下,IP 过滤器的所有日志信息都记录在 syslogd 文件中。创建日志文件来单独记录 IP 过滤器流量信息以将其与可能记录在缺省日志文件中的其他数据相区分不失为一个良好做法。
开始之前
您必须承担 root 角色。
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
注 - 如果 rsyslog 服务实例联机,请修改 rsyslog.conf 文件。
# Save IP Filter log output to its own file local0.debug /var/log/log-name
注 - 在条目中使用 Tab 键而不是空格键来分隔 local0.debug 与 /var/log/log-name。有关更多信息,请参见 syslog.conf(4) 和 syslogd(1M) 手册页。
# touch /var/log/log-name
# svcadm refresh system-log:default
注 - 如果 rsyslog 服务联机,请刷新 system-log:rsyslog 服务实例。
示例 5-16 创建 IP 过滤器日志
以下示例说明如何创建 ipmon.log 以归档 IP 过滤器信息。
在 /etc/syslog.conf 中:
## Save IP Filter log output to its own file local0.debug<Tab>/var/log/ipmon.log
在命令行中:
# touch /var/log/ipmon.log # svcadm restart system-log
开始之前
已完成如何为 IP 过滤器设置日志文件。
您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
要查看日志文件,请键入以下命令,并使用适当的选项:
# ipmon -o [S|N|I] filename
显示状态日志文件。
显示 NAT 日志文件。
显示常规 IP 日志文件。
# ipmon -o SNI filename
# pkill ipmon # ipmon -a filename
注 - 如果 ipmon 守护进程仍在运行,请勿使用 ipmon -a 语法。通常,该守护进程会在系统引导期间自动启动。发出 ipmon -a 命令还会打开 ipmon 的另一个副本。在此情况下,两个副本将读取相同的日志信息,只有一个副本会获得特定日志消息。
有关查看日志文件的更多信息,请参见 ipmon(1M) 手册页。
示例 5-17 查看 IP 过滤器的日志文件
以下示例显示了来自 /var/ipmon.log 的输出。
# ipmon -o SNI /var/ipmon.log 02/09/2012 15:27:20.606626 net0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN
或
# pkill ipmon # ipmon -aD /var/ipmon.log 02/09/2012 15:27:20.606626 net0 @0:1 p 129.146.157.149 -> 129.146.157.145 PR icmp len 20 84 icmp echo/0 IN
此过程可清除缓冲区并在屏幕上显示输出。
开始之前
您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# ipmon -F
示例 5-18 刷新包日志缓冲区
以下示例显示删除日志文件时的输出。即使未在日志文件中存储任何内容,系统也将提供一个报告,如此示例所示。
# ipmon -F 0 bytes flushed from log buffer 0 bytes flushed from log buffer 0 bytes flushed from log buffer
您可以在调试过程中或希望手动审计流量时将包保存到文件中。
开始之前
您必须承担 root 角色。
# cat /dev/ipl > filename
继续将包记录到 filename 文件中,直到您通过键入 Ctrl-C 组合键使命令行提示符重新出现来中断该过程。
示例 5-19 将记录的包保存到文件中
以下示例显示将记录的包保存到文件中时所出现的结果。
# cat /dev/ipl > /tmp/logfile ^C# # ipmon -f /tmp/logfile 02/09/2012 15:30:28.708294 net0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 52 -S IN 02/09/2012 15:30:28.708708 net0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2012 15:30:28.792611 net0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 70 -AP IN 02/09/2012 15:30:28.872000 net0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2012 15:30:28.872142 net0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 43 -AP IN 02/09/2012 15:30:28.872808 net0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN 02/09/2012 15:30:28.872951 net0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 47 -AP IN 02/09/2012 15:30:28.926792 net0 @0:1 p 129.146.157.149,33923 -> 129.146.157.145,23 PR tcp len 20 40 -A IN . . (output truncated)