iptables desempenho de log

0

É necessário entender o tráfego entre as diferentes VMs (e centenas delas) e planejar usar o registro do iptables para criar o log das novas conexões (entrada e saída). Um script pode analisar o log e obter o IP e as portas de origem / destino. Mas preciso registrar por vários dias (pode ser uma semana) para obter uma imagem completa de todas as conexões possíveis. Planejando rolar o arquivo de log a cada hora, mas a preocupação é o desempenho, já que isso precisa ser feito nos servidores LIVE. O log do iptables irá adicionar uma sobrecarga significativa? Sou novo no Linux e suas entradas serão muito apreciadas.

    
por John Culver 10.01.2018 / 04:49

1 resposta

0

A carga depende principalmente do número de conexões que precisam ser registradas. É muito pequena por conexão, mas se houver um servidor que precise lidar com uma enorme taxa de conexões, isso pode aumentar.

iptables coloca as mensagens de log no buffer de mensagens do kernel (que pode ser visualizado com o comando dmesg ). O resto do trabalho é normalmente tratado pelo seu daemon syslog.

Se for o par tradicional syslogd / klogd , eles consumirão a quantidade de recursos do sistema necessária para obter as mensagens para os arquivos de log e / ou destinos de log remotos, conforme configurado.

Mas em muitas distribuições modernas, rsyslogd é usado, e pode limitar as mensagens - e em muitas distribuições, esse nível de limite é definido bem baixo para o registro do iptables. Parece que a taxa padrão foi projetada para proteger servidores antigos e de baixo consumo de energia, para que você possa aumentar com segurança o limite, mas é preciso lembrar-se disso.

Se você estiver executando o software Java, eles tendem a usar um número significativo de soquetes de rede para comunicações locais: você pode definir cuidadosamente suas regras de registro para não registrá-las, para minimizar a quantidade de dados que precisam ser registrados na fonte. Da mesma forma, se você sabe que há grandes quantidades de conexões que você já entende ou não se importa, talvez queira excluí-las do registro para manter a quantidade total de dados gerenciáveis.

Certifique-se de criar apenas uma mensagem de registro por conexão, se possível. Registrando tudo entrando & pacotes de saída gerariam uma carga extra significativa, com certeza.

Além disso, não presuma que, após uma semana de registro, você saberá tudo o que há para saber: dependendo do seu site, pode haver algumas conexões que só acontecem no final do mês, ou talvez trimestralmente.

    
por 10.01.2018 / 07:38