整个Linux日志管理，大体上就分为三个管理区块：日志的采集以及分析、轮转

• rsyslog是一个系统的守护进程，绝大部分和操作系统有关的日志，例如系统安全、认证，计划任务等等都由该进程完成。
• 还有一些第三方的日志管理，例如nginx,httpd、mysql这些常用的网络服务有自己的日志记录方式，跟rsyslog没有半点关系。

当然本文主要讨论有关rsyslog的日志分析方法。

查看日志的常用命令

tail /var/log/iptables.log     //动态查看日志
tail -20 /var/log/iptables.log //查看日志的尾部20行
cat /var/log/messages          //静态查看日志

例如:需要找到前10个多次恶意扫描我服务器的恶意ip，可能你会想到是使用

 grep 'tcp_traffic_deny' /var/log/iptables.log | grep enp3s0

但事实上,这条指令并不符合我们的期望

根据上图的指示，我们要查找的是源ip地址，即每条抽取日记记录中SRC=紧接的ip地址字符串，此时，可以想到有两种方法。一种方案是 awk命令，另外一种是grep配合正则表达式。

方法1:grep 过滤出tcp_traffic_deny相关的条目,并通过管道传送到awk命令,{print $9}表示仅打印第9列的记录。

 grep 'tcp_traffic_deny' /var/log/iptables.log | grep enp3s0 | awk '{print $10}'

嗯，这下有些靠谱列,但仍然有些不完美，因为我们必须将SRC=这段字符去掉。

要实现这个目标，awk命令内部有一个substr用于截取字符串的。那么上面的命令可以

 grep 'tcp_traffic_deny' /var/log/iptables.log | grep enp3s0 | awk '{print substr($10,5)}'

这里出现已经经过awk的过滤，我们得到打印的ip地址列表，

但这里的ip地址很可能出现重复的。因此，我们可以对上面的命令追加 sort | uniq -c | sort -k1 -n -r ，追加的命令是什么意思呢？

• 首先 sort对上面打印的ip地址列表进行排序(按照ip地址第一个字符数字执行升序排列)

• 然后uniq -c命令对sort排列后的ip地址列表统计每个ip地址重复的次数。例如下图中的ip地址列表的第一列就是每个ip地址的重复出现的次数，这样间接去重并统计。

• 最后对上图的ip地址列表，通过sort -k1 -n -r命令执行排序，但需要注意的是排序的依据是通过第一列计数列执行排序(命令选项 -k1就干这事)，-n选项表示垂直按列排序，-r表示降序排列

那么整个完整命令如下所示

grep 'tcp_traffic_deny' /var/log/iptables.log | grep enp3s0 |
awk '{print substr($10,5)}'| sort | uniq -c | sort -k1 -n -r

那么最终的效果，如下图所示，这里很容易就让Linux管理员知道，119.92.188.101这个ip地址尝试37次恶意连接我的Linux主机，其次就是49.232.243.119有16次干了这事。

当然我们最终的想要的结果是要前10个的统计结果，追加 head -10命令即可。

还有另外一种方法就是使用正则表达式，我们只需匹配ip地址表达式，能将上面的代码大大简化，这个留给读者自行去思考。

同理，我们对来自udp异常的流量日志进行分析，可以使用类似的命令

grep 'udp_traffic_deny' /var/log/iptables.log | grep enp3s0 | awk '{print substr($10,5)}' | sort | uniq -c | sort -k1 -nr | head -20

来自公网接口enp3s0的udp异常请求，通常是一些随机端口的臭探数据包。

小结：

由于笔者的Linux主机作为一台纯粹防火墙使用，因此Linux主机本身并不对外公开所有端口，作为一台防火墙一定要明确它的定位就是转发或过滤不安全的数据包。在笔者的所在单位仅开放80、443、123、53这些源端口让内网的所有计算机访问外网。还有一些大于1024的非标准端口经过安全审计也会有条件地放行。对于一些来历不明的外部IP地址多次连接请求，笔者一律采取丢弃并拉入黑名单处理。而要得到这些IP地址的黑名单就需要上面介绍到的日志分析方法了。