iptables log纪录问题

独孤九贱

原帖由 platinum 于 2006-6-14 17:14 发表
刚发现了一个好东西，这里面有介绍，分析 DNS 解析内容的工具
http://www.linuxmine.com/3907.html

这种取netfilter日志的方法，当流量一大，非常占系统资源，实用性不大，有没有更好的取日志的方法——我想的更好，是占用系统资源少，易于分析
那个ulog如何？没有用过

platinum

这不是分析 netfilter 日志的原理啊，它的原理是利用 libpcap 做侦听，分析截获一个 packet 之后逐层拆包，分析里面的 payload

netfilter 的 log 效率很低，我测试过，ulog 没有试过

[ 本帖最后由 platinum 于 2006-6-14 17:28 编辑 ]

独孤九贱

原帖由 platinum 于 2006-6-14 17:24 发表
这不是分析 netfilter 日志的原理啊，它的原理是利用 libpcap 做侦听，分析截获一个 packet 之后逐层拆包，分析里面的 payload

netfilter 的 ulog 效率很低，我测试过。。。。

白金兄请见谅，我见到是说iptables 日志，没有仔细看，就借光问了一下，因为这个问题困惑我很久了……呵呵
我正打算测ulog，白金兄既然都测了，那我也省事了

platinum

原帖由 独孤九贱 于 2006-6-14 17:28 发表

白金兄请见谅，我见到是说iptables 日志，没有仔细看，就借光问了一下，因为这个问题困惑我很久了……呵呵
我正打算测ulog，白金兄既然都测了，那我也省事了

sorry, 前面我说错了，没看清是 ulog，log 我测试过，效率很低，ulog 还没有。。。

独孤九贱

原帖由 platinum 于 2006-6-14 17:30 发表

sorry, 前面我说错了，没看清是 ulog，log 我测试过，效率很低，ulog 还没有。。。

晕，说的就是log效率低了……
不过效率低也是可以理解的，呵呵，内核数据嘛
那我回头再试试ulog

kenduest

原帖由 platinum 于 2006-6-14 17:24 发表
这不是分析 netfilter 日志的原理啊，它的原理是利用 libpcap 做侦听，分析截获一个 packet 之后逐层拆包，分析里面的 payload
netfilter 的 log 效率很低，我测试过，ulog 没有试过

我是不大清楚效率很低的意思，因为 netfilter 最后只是把讯息交给 kernel 丢出，最后会于 /proc/kmsg 档案内提供该资讯，然后执行 klogd 服务程式去接收读入该档案资讯，最后依据 /etc/syslog.conf 档案配置写入指定档案。

改用 ulogd 的话意思差不多，不过该 ulogd 会依据 /proc/kmsg 读入后解析是属于 netfilter/firewall 的项目时才处理。接收处理后结果依据设定档案配置，可以储存至档案，甚至后端的 mysql/pgsql 等资料库。

我刚刚有去看过 ulogd.conf，是没有看到任何 dns 配置项目，所以是没有支援反解后写入纪录资讯的功能。

==

[ 本帖最后由 kenduest 于 2006-6-14 18:25 编辑 ]

platinum

log 的效率低主要是由于磁盘造成的
因为有大量的包要 log，每个包 log 的时候会生成很详细的信息，还要通过 /etc/syslog.conf 的指定保存到文件中，所以造成大量磁盘操作，因此效率极其低下
ulog 省了写入磁盘一步，将信息交给指定的远程 syslog 服务器，不知效率会提高多少

kenduest

原帖由 platinum 于 2006-6-14 18:58 发表
og 的效率低主要是由于磁盘造成的
因为有大量的包要 log，每个包 log 的时候会生成很详细的信息，还要通过 /etc/syslog.conf 的指定保存到文件中，所以造成大量磁盘操作，因此效率极其低下
ulog 省了写入磁盘一步，将信息交给指定的远程 syslog 服务器，不知效率会提高多少

有良好的 firewall 设定 rule 应该还好。一般我们纪录通常只会储存 NEW 的封包类型，只有纪录连到哪边去，后续传输资料不纪录。

1. iptables -A INPUT -m state --state NEW -j LOG

复制代码

基本上这样的话应该不会有所谓 log 很多情况。

==

platinum

如果遇到 syn-flood 就惨大了 ^_^

kenduest

原帖由 platinum 于 2006-6-14 23:40 发表
如果遇到 syn-flood 就惨大了 ^_^

哦... 真得要谈这个东西的话，任何网路设备若是都要 log 这个项目，结果也都一样吧？感觉这个讨论好像不会结束了，呵

整个文章来谈的是，并不是说 LOG 效率就会变糟，要谈的是:

1. 如何有效率纪录必要的资讯，而不是纪录全部传输的封包。毕竟只有一部份封包内容需要记录，要稽核检阅有其必要性部份就好。

2. 就 iptables 的 LOG 纪录，其中甚至还牵涉到触发的配置，所以配合良好的触发配置可以让运作效率更好。

3. syn-flood ? 这部份是不好侦测与阻挡的，目前已经有太多的攻击手段都是假造封包内容所以已经很难用 syn cookie 解决。不过这导致系统处理封包变成缓慢异常，也让系统负载变高，甚至记忆体耗尽。有时候要担心的是机器根本无法正常运作，而不是 log 太多

所以整个问题要拉回来是，为何要 log ? 我想真的要 log 的话当然得分析一下实际情况来使用，log 的纪录放远端机器处理，这样 log 的纪录处理与 disk io 读写就可以大为分散降低了。

结论啦，要 LOG 要先想清楚啰

==

[ 本帖最后由 kenduest 于 2006-6-15 00:29 编辑 ]