トップページ活動報告運用規則活動履歴参加者名簿勉強会

iplog の設定と実際のログ


 iplog は起動時に iplog.conf ファイルを読み込み,そこに設定されている項目に従ってログをとります.

 iplog.conf が空の場合にはデフォルト設定値で動作しますが,これだと不要な内容でログファイルが膨れ上がるので,正常な通信だと判断出来るものはログには残さない工夫が必要になります.

 現状ではサーバー運用準備段階であり,また我々のネットワークに関する知識が十分ではないことなどから,前回勉強会では“なるべく多くのログを残す”ように iplog.conf を設定しました.

 具体的には,example-iplog.conf ファイル( iplog のインストール時に同時にインストールされる)を流用して iplog ファイルを作成し,その中で ignore によりログを残さないように設定されている項目について,# を行頭に書き加えることにより,無効化しました(詳細は iplog のインストールを参照してください).

 以下,iplog.conf 中の ignore〜 という設定について説明します.


1.HP 閲覧の記録


 example-iplog.conf には元々,

 ignore tcp dport 80

 という行がありました.これは「 Destination(送信先)が TCP:80 ポートのもの( tcp dport 80 )は記録しない( ignore )」と明示しています.すなわち内部→外部 web サーバへの接続の記録をとらないということになります.

 現在の iplog.conf の設定では,

 #ignore tcp dport 80

 となっていると思いますが,このままだとサーバが稼動して以降,web 閲覧の記録が大量にログに残ることになります.


2.DNS 参照記録


 もう一つ具体例をあげると,

 # Ignore DNS traffic from name servers in /etc/resolv.confset ignore_dns

 という行があります.これは「 /etc/resolv.conf に明示されている DNS サーバとのやりとりを記録しない」ように設定しています.

 resolv.conf には専攻ネットワークの DNS が指定されています(実際には私たちが network config や webmin を使って設定した).確認して見てください.

 Web 閲覧の際に DNS サーバ( URL と IP アドレスを対応させるサーバ)と多くのやりとりが発生するので,それを記録に残さないようにするというわけです.


3.無用な通信記録はどれ?


 不要なログを設定するには,しばらくログの状況を見ながら徐々に減らしていく( ignore で設定する),というのが王道のようですが・・・

 ざっと HP を調べてみると,

# 送信先が http(80) な通信( web 閲覧)は記録しない
ignore tcp dport 80

# 送信元・先が domain(53) な通信( DNS 参照)は記録しない
ignore udp sport 53
ignore udp dport 53
# 送信元・先が smtp(25) な通信(メール送信)は記録しない
ignore tcp sport 25
ignore tcp dport 25

# 送信元・先が pop3(110) な通信(メール受信)は記録しない
ignore tcp sport 110
ignore tcp dport 110

# ICMP は記録しない( ICMP とは IP を補完し,エラー訂正やフロー制御をする・・・らしい)
ignore icmp

 といったあたりは,普通に設定されているみたいです.上記の中でも,内部→外部( dport )の送信記録にはそれほど神経質にならなくても良さそうです.

 一方の外部→内部( sport )の方は,念のためログをとった方がいいでしょう.

 おそらく上記の他に,サーバ稼動後は頻繁に通信が行われるであろう内部→外部への ftp,nntp,imap あたりは ignore して良いんじゃないかと思われます.


4.実際のログ


 Posty のサーバは外部に何のサービスも提供していませんが,linux を起動したままの状態で放っておいたところ,外部から以下のような通信がありました.

Aug 11 20:22:48 UDP: dgram to snmp from optivity.cc.hokudai.ac.jp (133.87.1.5):36938
Aug 11 20:22:50 TCP: port 280 connection attempt from optivity.cc.hokudai.ac.jp (133.87.1.5):42771
Aug 11 20:22:50 TCP: www connection attempt from optivity.cc.hokudai.ac.jp (133.87.1.5):42772
Aug 13 20:21:45 ICMP: 133.87.254.65 time exceeded (udp: dest port 33439, source port 36176)
Aug 13 20:21:45 ICMP: 133.87.254.65 time exceeded (udp: dest port 33440, source port 36176)
Aug 13 20:21:45 ICMP: daikeir1-sec.sys.hokudai.ac.jp (133.87.254.3) time exceeded (udp: dest port 33441, source port 36176)
Aug 13 20:21:45 ICMP: daikeir1-sec.sys.hokudai.ac.jp (133.87.254.3) time exceeded (udp: dest port 33442, source port 36176)

 optivity.cc.hokudai.ac.jp は大型計算機センターのホストマシンで,学内のネットワークの状態を監視しているそうです.また ICMP はネットワークカードの登録チェックだそうです.

 ICMP の通信については,www へアクセスした際にも発生しているようなので,TCP/IP でエラーか何かがあったんだと思います.ICMP のログ記録は実際に非常に多いので,やはり本格稼動の際には ignore した方がいいかも知れません.

 以下は出所不明の怪しい接続です(偏見?).

Aug 12 17:50:37 TCP: ssh connection attempt from 61.194.203.203:2168
Aug 14 02:32:20 TCP: port 65500 connection attempt from 61-220-199-212.HINET-IP.hinet.net (61.220.199.212):42273
Aug 14 03:03:15 TCP: ftp connection attempt from hq1.lanfar.com (211.75.11.108):21
Aug 15 01:51:34 TCP: www connection attempt from c159.brno.mistral.cz (62.245.98.159):4367
Aug 15 07:15:55 TCP: ftp connection attempt from 209.21.92.165:47835


5.参考リンク

http://www.unitworks.jp/hiro/linux/topics/iplog.html
http://www.hawkeye.ac/micky/network/iplog.html
http://www.hawkeye.ac/micky/network/iplog_conf.html


2002/09/29 更新
担当 川上源太郎

トップページ活動報告運用規則活動履歴参加者名簿勉強会