方法 1:–set-log-denied を使用する
firewalld オプション「–set-log-denied」を使用できます 」を使用して、パケットがドロップされるたびにログ エントリを作成します。
1. まず、firewalld でオプションが有効になっているかどうかを確認します。
# firewall-cmd --get-log-denied off
ご覧のとおり、このオプションは現在無効になっています。
2. ロギングを有効にします。
# firewall-cmd --set-log-denied=[value]
ここで、値は以下のいずれかになります:
- すべて
- ユニキャスト
- ブロードキャスト
- マルチキャスト
- オフ
3. 同じコマンドをもう一度使用して、ロギングが有効になっているかどうかを確認できます。
# firewall-cmd --get-log-denied all
方法 2:/etc/firewalld/firewalld.conf を使用する
1. firewalld 構成ファイルで、ドロップされたパケットをログに記録するように firewalld を構成します。
# vim /etc/firewalld/firewalld.conf # LogDenied # Add logging rules right before reject and drop rules in the INPUT, FORWARD # and OUTPUT chains for the default rules and also final reject and drop rules # in zones. Possible values are: all, unicast, broadcast, multicast and off. # Default: off LogDenied=all
値は次のいずれかです:all、unicast、broadcast、multicast、または off (この場合は all に設定しています)。
注意 :また、firewalld GUI ツールを使用してロギングを有効にすることもできます。 firewall-config を開始します 、[オプション] をクリックします メニューを開き、[ログの変更が拒否されました] を選択します .firewalld を使用してドロップされたパケットをログに記録するためのログファイルの場所を変更する
現在、デフォルトでドロップされたパケットはファイル /var/log/messages に記録されます .ログの場所を変更するには、ドロップされたパケット メッセージをキャプチャするように rsyslog を構成する必要があります。
1. /etc/rsyslog.d/firewalld.conf を作成します 以下を使用:
# log DROP and REJECT firewalld messages to /var/log/firewalld.log :msg,contains,"_DROP" /var/log/firewalld.log & stop :msg,contains,"_REJECT" /var/log/firewalld.log & stop
ファイル /var/log/firewalld.log は、任意のファイルに置き換えることができます。
2. 変更を有効にするために rsyslog サービスを再起動します。
# systemctl restart rsyslog.service