CENTOS FIREWALLD防火墙学习笔记（九）- Firewalld配置记录日志及用途

CentOS操作系统中Firewalld防火墙默认是不记录日志的，如果服务器性能允许，可以通过修改配置文件，使Firewalld防火墙记录日志，这样我们可以通过防火墙记录的日志，查询过滤拒绝的非法ip，把这些ip放入到黑名单中。

修改配置文件：
/etc/firewalld/firewalld.conf

修改为：LogDenied=all

off：默认值，不记录被拒的包

all：记录所有被拒的包

重启Firewalld服务使其生效，命令：

systemctl restart firewalld

验证配置是否生效的方法：

重启服务前后使用命令查看配置选项的值：firewall-cmd --get-log-denied

测试Firewalld被拒数据包后是否记录日志：

使用另外的电脑，telnet该服务器，端口为未开放的端口。

如：telnet 10.41.1.97 333

在服务器上查看reject日志：

命令：dmesg |grep -i reject|grep 10.41.5.88

把日志记录到文件：

创建文件
/etc/rsyslog.d/firewalld.conf

内容：

kern.* /var/log/firewalld.log

修改配置文件/etc/logrotate.d/syslog

内容：

重启rsyslog服务：

命令：systemctl restart rsyslog.service

日志文件被创建，telnet 10.41.1.97 333有拒绝日志产生

通过命令查看被拒绝最多的ip地址：

命令：grep 'FINAL_REJECT' /var/log/firewalld.log |awk '{print $10}'|sort -n |uniq -c |sort -k1nr|head -10