从防火墙日志记录中检索已删除的连接

・1 分钟阅读

 $ sudo journalctl -b | grep -o "PROTO=.*" | sed -r 's/(PROTO|SPT|DPT|LEN)=//g' | awk '{print $1, $3}' | sort | uniq -c

说明

我们从上一次启动(-b标志)之后,获取journalctl的输出,从PROTO=输出到EOL ,然后,删除标识标记(PROTO=/SPT=/DPT=/LEN=),并且只打印协议和目标端口(cols 1和3 ),为了在uniq上进行聚合,我们对输出进行了适当的排序。

限制

  • 仅适用于Linux
  • 使用firewalld,并且在ALL上设置logging (有关详细信息,请参见firewalld.conf ),
  • 你将journald用于日志记录
  • 你的用户拥有sudo权限
Hujiuxiang profile image