防火墙的基本功能是阻止来自可疑网络/来源的连接。它会检查所有连接的源地址、目的地址和端口，并决定是否允许或阻止流量。防火墙的每个操作都会记录为日志数据。监控和分析这些日志对于保护您的网络免受攻击至关重要。要这样做，您需要首先启用日志功能。以下是在 Linux 防火墙中启用日志的步骤。

在 Linux 系统中，使用命令行界面 iptables 来设置和维护 NetFilter 防火墙的 IPv4 表。当系统尝试建立连接时，iptables 会在其列表中查找规则，以确定是否允许或拒绝该连接。如果没有规则，则采用默认操作。iptables 是大多数 Linux 系统的预安装组件。iptables 使用输入、转发和输出三个不同的链来控制进入网络、在网络内转发和离开网络的流量。

为 iptables 启用日志记录对于监控进出流量至关重要。

一、在 iptables 中启用日志记录

使用以下命令在 iptables 中启用日志记录：

iptables -A INPUT -j LOG

要为特定的 IP 地址或 IP 地址范围启用日志记录，可以使用以下命令：

iptables -A INPUT -s 192.168.10.0/24 -j LOG

要定义 iptables 生成的日志的级别，请使用-log-level选项，然后跟上级别数字。请参考以下命令的语法：

iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-level 4

如果你手动分析日志文件，最好在生成的日志文件中添加一个前缀，这样你就可以更方便地搜索大量日志文件。执行此操作的命令如下。

iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-prefix '** SUSPECT **'

查看 iptables 日志

在启用日志功能后，您可以随时在这些位置查看日志文件：

Ubuntu and Debian: tail -f /var/log/kern.logCentOS, RHEL, and Fedora cat /var/log/messages

二、使用 EventLog Analyzer 日志管理解决方案来收集、监控、分析和获取防火墙日志

EventLog Analyzer 是一个中央日志管理解决方案，可以从防火墙设备收集日志，并将其组织在一个位置。该解决方案也是一个防火墙审计工具，使安全管理员可以轻松监控防火墙日志、进行防火墙分析和检测异常，使用相关和实时告警来主动检测和缓解潜在威胁。

为领先供应商的防火墙、下一代防火墙（NGFW）、入侵检测系统（IDS）和入侵防御系统（IPS）提供开箱即用的支持。

支持在预定义的防火墙审计报表中提供详尽的信息，帮助您跟踪防火墙活动。以表格、列表和图形格式显示报表，支持多种图形类型。通过短信或电子邮件发送实时预定义或可定制的告警。识别可疑活动，并通过相关规则提醒管理员。只需单击一下，即可显示报表中的原始日志信息。

EventLog Analyzer 作为防火墙监控工具可以监控防火墙日志和活动执行全面的https://www.manageengine.cn/products/eventlog/firewall-auditing-tool.html?utm_source=info。