ipmon でもログは取れますが、IPFilter ではどのルールにマッチしたものをログ に取るかを指定出来るので、全部をログに取るのではなく、重要なアクセスのみ に限定した方が良いでしょう。勿論、全部のログが必要な場合もありますが、 それには十分なディスク容量や、書き込み速度が必要ですので、注意しましょう。 しかし、こうした通常のログだけでは分からないものがあります。それは、 ある種のアタックの前兆、あるいはアタックと思われるトラフィックで、 こうしたものは別のログツールで取る方が効率が良いでしょう。ログツールは 色々なものがありますが、その一つに iplog が あります。FreeBSD では iplog は、パッケージの net カテゴリーに入っています。 特徴としては、様々なスキャンやアタックの記録がとれるようになっており、 OSも FreeBSD,OpenBSD,Solaris,Linuxなどに対応しています。 その他にも、in,out 全てのログを取る場合には、clog などもあります。 更には、進んだ監視には IDS(侵入監視システム:Intrusion Detection System) のようなものが必要です。
iplog を起動するには単に、
# /usr/local/sbin/iplog |
# /usr/local/sbin/iplog --facility LOG_LOCAL1 --priority LOG_INFO |
iplog には非常に多くのオプションがありますが、デフォルトでほとんどの スイッチが ON になっているので、必要なオプションについてのみ述べます。
-z オプションは気になる所ですが、以下のように設定します。
/usr/local/sbin/iplog -D -N -z --facility LOG_LOCAL4 --priority LOG_INFO |
動作を確認したら /usr/local/etc/rc.d/iplog.sh に次のように登録すれば 良いでしょう。
#!/bin/sh
#
umask 022
arg=${1:-start}
test -x /usr/local/sbin/iplog || exit 1
echo -n " iplog"
case $arg in
start)
/usr/local/sbin/iplog -D -N -z --facility LOG_LOCAL4 --priority LOG_INFO;;
stop)
killall iplog;;
esac
|