iplog は、こちら Ojnk Software Design(http://ojnk.sourceforge.net/)
iplog 2.2.3 に関するインストールメモ(2002/02/19)
昨今、不正侵入やポート・スキャン等のアクセスが頻繁にある嫌な世の中ですが、受身になっているのもバカらしいので、侵入してくる輩のアクセス行為を検知し行動を探れるのが iplog です。当然の事ながら必ず TCP/UDP を使用しアクセスしてくるので、そのパケット・ログを取り不正アクセス元を特定/検知することが可能です。
1.iplog をコンパイルするためには、libpcap が必要となります。
2.libpcap をコンパイル&設置するには、以下のコマンドを実行します。
% wget ftp://ftp.gnu.org/gnu/jwhois/jwhois-2.4.2.tar.gz
% gzip -cd jwhois-2.4.2.tar.gz | tar xf -
% cd jwhois-2.4.2
% ./configure
% make
% make check
% su
# make install3.iplog をコンパイル&設置するには、以下のコマンドを実行します。
% wget http://prdownloads.sourceforge.net/ojnk/iplog-2.2.3.tar.gz
% gzip -cd iplog-2.2.3.tar.gz | tar xf -
% cd iplog-2.2.3
% ./configure
※ libpcap が無いよ!っていわれたら、configure を修正する
if test $PCAP_LIB = "no" ; then
PCAP_LIB="-lpcap"
# echo "Error: libpcap is required to build this package."
# echo "Error: See the README file."
# exit 1
fi
% make
% su
# make install
→ /usr/local/sbin/iplog
# cp example-iplog.conf /etc/iplog.conf
# mkdir -p /var/run/iplog4./etc/iplog.conf の設定を行います(下記は、最低限の設定)。
user nobody
group nogroup
pid-file /var/run/iplog/iplog.pid
logfile /var/log/iplog
facility log_daemon
priority log_info
set log_ip true
ignore udp from 127.1.2/24
ignore udp from 127.1.2/255.255.255.05.起動方法
# /usr/local/sbin/iplog
※ 問題があれば、/var/log/iplog にエラー内容が出力される6.ログの結果
Feb 19 16:30:34 iplog started.
Feb 19 16:31:20 ICMP: echo from 192.168.0.127 (40 bytes)
Feb 19 16:31:21 last message repeated 3 times
Feb 19 16:31:21 TCP: telnet connection attempt from 192.168.0.127:1780
Feb 19 16:31:21 UDP: dgram to port 32824 from hoge.com:53 (110 data bytes)
Feb 19 16:32:40 UDP: dgram to port 32825 from hoge.com:53 (210 data bytes)
Feb 19 16:32:40 UDP: dgram to port 32826 from hoge.com:53 (171 data bytes)
Feb 19 16:32:41 TCP: port 80 connection attempt from 192.168.0.127:1781
