PF 日志记录、监控与统计
1. 引言
控制网络是许多人关注的主要目标。要实现有效控制,就需要获取网络中发生的所有相关信息。幸运的是,PF 能够生成网络活动的日志数据,并且提供了丰富的选项来设置日志详细级别、处理日志文件以及提取特定类型的数据。
2. PF 日志基础
2.1 日志配置
PF 日志记录的信息和详细程度由规则集决定。基本的日志记录很简单,只需在需要记录日志的规则中添加log关键字。例如:
block log pass log quick proto { tcp, udp } to port ssh当加载包含log关键字的规则集后,任何启动匹配该规则的连接的数据包(被阻止、通过或匹配)都会被复制到pflog设备。PF 还会存储一些额外的数据,如时间戳、接口、数据包是被阻止还是通过,以及加载的规则集中的关联规则编号。
2.2 日志收集与存储
PF 日志数据由pflogd日志守护进程收集,该进程在系统启动时启用 PF 时默认启动。日志数据的默认存储位置是/var/log/pflog,日志以二进制格式编写,旨在由tcpdump读取。
2.3 查看日志
要查看日志内容,可以使用tcpdump命令。例如,
