Saudações leitores, dando continuidade ao nosso artigo sobre log no iptables, vamos falar agora do FWLogWatch.
Como o próprio nome sugere, o fwlogwatch é um programa que analisa os logs gerados por vários softwares de firewall, entre eles: ipchains, iptables, ipfilter, Cisco PIX, Snort, Netscreen e pasmem, até o Windows XP Firewall. O fwlogwatch podem gerar relatórios em texto puro ou HMTL. O html é formidável, dado que é bem mais agradável, com mais opções e de podermos acessar de qualquer lugar pela web.

Instalação do fwlogwatch

Bom, vamos ao trabalho, começaremos a instalar o fwlogwatch:

apt-get update
apt-get install fwlogwatch
Durante a instalação, algumas perguntas serão feitas sobre o modo de envio de email, leia as instruções que o próprio programa lhe exibirá e instale.

Com a instalação concluída, verifique se existe o arquivo /etc/fwlogwatch/fwlogwatch.config, pois como o nome sugere, este arquivo contém as configurações do fwlogwatch. Vale ressaltar que por padrão, todas as opções do fwlogwatch vêm desabilitadas, e por enquanto, deixaremos assim e usuremos as opções que desejamos usando comandos específicos. Mais pra frente aprenderemos a usar o arquivo de configuração e usaremos o programa apenas digitando o nome dele no shell.
Como vamos trabalhar com relatórios em html é fundamental que seu server iptables tenha um browser para ler tais arquivos. Presumindo que seu iptables está em um Linux sem GUI, iremos instalar o lynx, um browser leve que nos ajudará a exibir os relatórios em html. Para instalá-lo:

apt-get install lynx

A partir de agora, basta digitar lynx seguido do nome do arquivo para abrir o relatório.

Gerando relatórios

Agora que já o temos instalado, vamos gerar nosso primeiro relatório com base no log que nosso iptables gerou em /var/log/iptables.log

fwlogwatch /var/log/iptables.log -w -o index.html

entendendo a linha cima:

fwlogwach -> Chama o programa
/var/log/iptables.log -> Nome do arquivo com os enventos
-w -> Indica saída do tipo html
-o index.html -> Indica o nome do arquivo que será gerado

Vamos agora ver mais um exemplo simples de relatório, agora trazendo os ultimos 3 dias, porta de origem (-s), porta de destino (-d) e saída em html (-w). Vejamos:

fwlogwatch /var/log/iptables.log -t -l 3d -d -s -U “Relatório teste” -M100 -w -o rpt5.html

Entendendo os comandos novos:

-l  3d -> tempo do relatorio, podendo ser em dias (d) e horas (h)
-s -> porde de origem
-d -> porta de destino
-t -> mostra a data e hora do log
-U -> Titulo do relatório
-M -> Numero de linhas que serão analisadas (do mais recente ao mais velho)

Resultado Final:

Caso queiramos filtrar uma porta específica, basta adicionar -Eipd5000, onde 5000 é o número da porta desejada.

Bom, com estes exemplos, creio que já consigamos criar diversos relatórios e filtros; para se ver o manual do fwlogwatch, basta executar:

man fwlogwatch

Assim encerramos a 3ª parte do artigo de Logs no iptables. Assine o feed do purainfo e seja avisado quando a 4ª parte for postada, além de matérias de outros assuntos de Ti.

Em caso de dúvidas ou sugestões, comente! Fico por aqui, abraço a todos.

Link para parte I | Link para parte II