5.17. 拒否されたパケットに対するロギングの設定
firewalld
に LogDenied
オプションを使用すると、拒否されたパケットに単純なロギングメカニズムを追加できます。対象となるのは、拒否または破棄されるパケットになります。ログの設定を変更するには、/etc/firewalld/firewalld.conf
ファイルを編集するか、コマンドラインまたは GUI 設定ツールを使用します。
LogDenied
を有効にすると、デフォルトルールの INPUT チェイン、FORWARD チェイン、および OUTPUT チェインの reject ルールおよび drop ルールと、ゾーンの最後の reject ルールおよび drop ルールの直前に、ロギングルールが追加されます。この設定に使用できる値は、all
、unicast
、broadcast
、マルチキャスト
、および off
です。デフォルト設定は off
です。ユニキャスト
、ブロードキャスト
、および マルチキャスト
の設定では、pkttype
一致を使用してリンク層パケットタイプを照合します。すべての で、すべて
のパケットがログに記録されます。
firewall-cmd を使用して実際の
LogDenied
設定を一覧表示するには、root
で以下のコマンドを実行します。
~]# firewall-cmd --get-log-denied
off
LogDenied
設定を変更するには、root
で以下のコマンドを実行します。
~]# firewall-cmd --set-log-denied=all
success
firewalld
GUI 設定ツールで LogDenied
設定を変更するには、firewall-config を起動し、Options メニュー をクリックし、 を選択します。LogDenied
ウィンドウが表示されます。メニューから新しい LogDenied
設定を選択し、OK をクリックします。