iptables:如何决定为 Web 服务器记录什么内容?

iptables:如何决定为 Web 服务器记录什么内容?

记录 Web 服务器流量的方法有很多种。例如,如果我想记录所有传入流量,我可以将以下行作为附加到链中的第一条规则INPUT

-A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info

如果我想记录所有新连接,我可以将上述规则放在此规则之后:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

或者,如果我想记录断开的连接,我可以将日志记录规则放在接受规则之后和丢弃规则之前,例如:

-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info
-A INPUT -j DROP

我发现网上的许多示例配置只记录了一些特定的断开连接,例如格式错误的数据包或不需要的 SSH 连接。如果这些连接已经因为特定要求而被断开,为什么人们还想保留它的日志?记录所有传入连接(速率受限)不是比记录不需要的流量更有用吗?

添加评论:我想强调的是,我问这个问题的目的是为了进行网络故障排除。

相关内容