※ Logging
PF 的 log 是由 pflogd 產生,所以必須啟動 pflogd,並指定產生之 log 檔位址。
####################
### /etc/rc.conf ###
####################
pflog_enable="YES" # 啟動 PFLOG
pflog_logfile="/var/log/pflog" # PFLOG 紀錄檔的位置
pflog_flags="" # PFLOG 的參數
※ 讀取 Log 檔
log 是用 tcpdump 的格式紀錄
# tcpdump -n -e -ttt -r /var/log/pflog
如果 log 由 bzip2 壓縮
# bzcat pflog.0.bz2 | tcpdump -n -e -ttt -r -
如果 log 由 gzip 壓縮
# zcat pflog.0.gz2 | tcpdump -n -e -ttt -r -
如果想要看即時流量
# tcpdump -n -e -ttt -i pflog0
※ 截取 Log 檔
截取 port 80 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog port 80
截取 port 80 且主機是 192.168.1.1 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog port 80 and host 192.168.1.1
截取 port 80 或 port 21 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog port 80 or port 21
截取網卡 fxp0 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog on fxp0
截取 inbound 且是 pass 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog inbound and action pass
截取 outbound 且是 block 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog outbound and action block
※ plog rotation
新版的 FreeBSD 已經預設將 pflog rotation 加入 /etc/newsyslog.conf
###########################
### /etc/newsyslog.conf ###
###########################
/var/log/pflog 600 3 100 * JB /var/run/pflogd.pid
我是把它改成:
/var/log/pflog 600 30 * @T00 JB /var/run/pflogd.pid
Ref:http://www.openbsd.org/faq/pf/logging.html
--
\||||||/ 「一直到中古時期結束之前,理性代表具備一種心智,能夠看
q ^ ^ p 出各種事物之間精神層次的關聯、在主體與客體之間的律動
╰ 0 ╯ o 、微妙平衡或分配比率。 」
</ 菠 \-/ - Seven Life Lessons of Chaos
--
[1;32m※ Origin: [33mSayYA 資訊站 [37m<bbs.sayya.org> [m
[1;31m◆ From: [36m61-224-77-69.dynamic.hinet.net [m