Existem várias maneiras de registrar o tráfego de um servidor da web. Por exemplo, se eu quiser registrar todo o tráfego de entrada, posso colocar a seguinte linha como a primeira regra anexada à INPUT
chain:
-A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info
Se eu quiser registrar todas as novas conexões, posso colocar a regra acima após essa regra:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Ou, se eu quiser registrar o log de conexões perdidas, posso colocar a regra de registro após aceitar regras e antes da regra de descarte, como:
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info
-A INPUT -j DROP
Descobri que muitas das configurações de exemplo encontradas no registro on-line são apenas algumas conexões descartadas específicas, como pacotes mal formados ou conexões indesejadas com o SSH. Se as conexões já foram descartadas especificamente devido à necessidade, por que as pessoas ainda querem manter um log para isso? O registro de todas as conexões de entrada (taxa limitada) não seria mais útil do que o registro de tráfego indesejado?
Adicionar comentário : quero enfatizar que estou fazendo essa pergunta com o objetivo de solucionar problemas de rede.