17、PF 日志记录、监控与统计

PF 日志记录、监控与统计

1. 引言

控制网络是许多人关注的主要目标。要实现有效控制，就需要获取网络中发生的所有相关信息。幸运的是，PF 能够生成网络活动的日志数据，并且提供了丰富的选项来设置日志详细级别、处理日志文件以及提取特定类型的数据。

2. PF 日志基础

2.1 日志配置

PF 日志记录的信息和详细程度由规则集决定。基本的日志记录很简单，只需在需要记录日志的规则中添加log关键字。例如：

block log pass log quick proto { tcp, udp } to port ssh

当加载包含log关键字的规则集后，任何启动匹配该规则的连接的数据包（被阻止、通过或匹配）都会被复制到pflog设备。PF 还会存储一些额外的数据，如时间戳、接口、数据包是被阻止还是通过，以及加载的规则集中的关联规则编号。

2.2 日志收集与存储

PF 日志数据由pflogd日志守护进程收集，该进程在系统启动时启用 PF 时默认启动。日志数据的默认存储位置是/var/log/pflog，日志以二进制格式编写，旨在由tcpdump读取。

2.3 查看日志

要查看日志内容，可以使用tcpdump命令。例如，