トップページ活動報告運用規則活動履歴参加者名簿勉強会

iplog のインストール

[発表者:倉本/相澤]

1.iplog とは?

iplog とはフリーの TCP/IP トラフィックロギングツールです.
どのポートにどこからアクセスがあったのかを全て保存できます.

Vine Linux 2.5 及び 2.1.5 用のパッケージは用意されていないため,
ソースからインストールするか,
Red Hat Linux 用の rpm をリビルドせねばならず,
後者でインストールを行いました.
インストール方法は両方の場合を載せておきます.

また,iplog は libpcap というライブラリが必要になりますので,
libpcap がインストール済みか確認してください.
Vine Linux ではデフォルトでインストールされているようです.


2.ソースからのインストール

http://www.kozupon.com/log/iplog.html

を参考にさせていただきました.

/tmp/ に iplog-2.2.3.tar.gz ファイルをダウンロードする.
http://ojnk.sourceforge.net/
に最新版が置いてあります.

# cd /usr/local/src/
# tar -zxvf /tmp/iplog-2.2.3.tar.gz

# cd iplog-2.2.3
# ./configure

# make
# make install

以上でセットアップ終了.


実行ファイルは /usr/local/sbin/iplog です.
example-iplog.conf は /usr/local/src/iplog-2.2.3/ の中にあります.


3.rpm によるインストール

http://www.mm-labo.com/computer/linux/iplog.html

を参考にさせていただきました.
rpm もこのホームページに置いてありました.

# rpm --rebuild iplog-2.2.3-1.src.rpm
# cd /root/rpm/RPMS/i386/
# rpm -ivh iplog-2.2.3-1.i386.rpm

で完了.

Vine linux 2.1.5では,2.5 と違い“ /usr/src/redhat/RPMS/i386/ ”にリビルドされたrpmファイルができます.


起動スクリプト(/etc/rc.d/init.d/iplog)の中の、
# Source function library の部分を

. /etc/init.d/functions -> . /etc/rc.d/init.d/functions

と書き変える必要があります.
(この rpm は Red Hat 用で,ディレクトリ構造がvineと異なるため)


実行ファイルは上と違って/usr/sbin/iplog です.
example-iplog.conf は/usr/doc/iplog-2.2.3/ の中にあります.


4.設定ファイルの編集

iplog は起動時に iplog.conf という設定ファイルを読み込んでその設定に従いログを取ります.
詳しい解説はこちらです.

とりあえずその設定ファイルを作ります.

用意されている example-iplog.conf を,
/etc/ 以下に iplog.conf としてコピーしてください.

とりあえず,全部ログを取るように,iplog.conf 内の

# Operate in promiscuous mode and watch the 192.168.0.x network

以下を全部コメントアウトしてみました.


次に,iplog はユーザ iplog と,グループユーザ noguorp が必要である(と設定ファイルで設定してある)ので作る.

# groupadd nogroup
# adduser -g nogroup -d /dev/null -s /bin/false iplog


次に iplog.pid 用のディレクトリを作る.

# mkdir /var/run/iplog
# chown iplog.nogroup /var/run/iplog

5.起動

# /usr/local/sbin/iplog (<- ソースからインストール)
or
# /etc/rc.d/init.d/iplog start (<- rpm でインストール)

で起動します.


プロセスを見てみよう.

# ps -axw | grep iplog

9455 ? S 0:00 /usr/sbin/iplog
9458 ? S 0:00 /usr/sbin/iplog
9459 ? S 0:00 /usr/sbin/iplog
9460 ? S 0:00 /usr/sbin/iplog
9461 ? S 0:00 /usr/sbin/iplog

こんな感じで出れば OK です.


PC 起動時に勝手に起動させるには,
/etc/rc.d/init.d/ に iplog っていうスタートアップスクリプトをつくれば良いのでしょう.
rpm を使うと勝手に作ってくれるみたいです.


参考資料

http://ojnk.sourceforge.net/
http://www.kozupon.com/log/iplog.html
http://www.mm-labo.com/computer/linux/iplog.html
日経ネットワークセキュリティ2003:日経BPムック(2002)




最終更新  2002/11/25(今井 淳二)

トップページ活動報告運用規則活動履歴参加者名簿勉強会