IPMon
| Formát: | ipmon [ -aDFhnpstvxX ] [ -N <zařízení> ] [ -o [NSI] ] [ -O [NSI] ] [ -P <pidfile> ] [ -S <zařízení> ] [ -f <zařízení> ] [ <soubor> ] |
| Šablona: | Žádná |
| Účel: | Monitoruje zařízení /dev/ipl pro zaznamenané pakety. |
| Cesta: | C:IPMon |
Příkaz IPMon otevírá zařízení /dev/ipl pro čtení a čeká na data uložená z paketového filtru. Binární data načtená ze zařízení jsou znovu zobrazena v čitelném stavu pro člověka, nicméně IP# nejsou převáděna zpět na názvy hostitelů, ani nejsou zpět převáděny porty na názvy služeb. Ve výchozím nastavení jdou výstupní informace na standardní obrazovku nebo jsou ukládány do souboru, pokud je uveden na příkazovém řádku. Pokud by byla použita volba -s, bude výstup místo toho odeslán na syslogd(8). U zpráv odeslaných prostřednictvím syslogu je ze zprávy odstraněn den, měsíc a rok, ale čas (včetně mikrosekund) zaznamenaný v protokolu je stále zahrnut.
Zprávy generované příkazem IPMon se skládají z polí oddělených mezerami. Společná pole pro všechny zprávy jsou:
- Datum přijetí paketu. To je potlačeno, když je zpráva odeslána na syslog.
- Čas přijetí paketu. Toto je ukládáno ve formě HH:MM:SS.F, jako hodiny, minuty sekundy a zlomky sekund (jenž mohou být dlouhé několik číslic).
- Název rozhraní, na kterém byl paket zpracován, např. We1.
- Skupina a číslo pravidla, například @0:17. Ty lze zobrazit pomocí příkazu ipfstat -n.
- Akce:Označení p pro předané nebo b jako pro zablokované.
- IP adresy. Ve skutečnosti to jsou tři pole: zdrojová IP adresa a port (oddělený čárkou), symbol -> a cílová IP adresa a port. Např .: 209.53.17.22,80 -> 198.73.220.17 1722.
- PR následovaný názvem nebo číslem protokolu, např. PR tcp.
- len následuje délka záhlaví a celková délka paketu, např. len 20 40.
Pokud je paketem TCP paket, bude zde další pole začínající pomlčkou následovanou písmeny odpovídajícími nastaveným příznakům. Pokud je paket ICMP paket, budou na konci dvě pole, první vždy „icmp“ a další ICMP zpráva a typ podřízené zprávy, oddělené lomítkem, např. Icmp 3/3 pro port nedostupná zpráva.
Parametry
| -a | Otevře všechny protokoly zařízení, ze kterých lze načíst položky protokolu. Všechny položky se zobrazují na stejném výstupním „zařízení“ (stderr nebo syslog). | |
| -D | Způsobí, že příkaz ipmon sám poběží jako deamon. | |
| -f <zařízení> | Zadá alternativní zařízení nebo soubor, ze kterého se budou číst informace protokolu pro běžné záznamy protokolu IP filtru. | |
| -F | Vyčištění aktuální vyrovnávací paměti protokolu paketů. Je zobrazen počet vyprázdněných bytů, i když je výsledek nulový. | |
| -n | IP adresy a čísla portů budou zmapovány, pokud je to možné, zpět na názvy hostitelů a názvy služeb. | |
| -N | Nastaví soubor protokolu, který má být otevřen pro čtení záznamů NAT protokolu ze <zařízení>. | |
| -o | Určí, ze kterých protokolů se mají data skutečně načítat. N - NAT logfile, S - State logfile, I - normální IP Filterlogfile. Možnost -a odpovídá použití -o NSI. | |
| -O | Určí, které soubory protokolu si nepřejete načíst. To se nejrozumněji používá u volby -a. Obálky, které jsou k dispozici jako parametry, jsou stejné jako pro -o. | |
| -p | Způsobí, aby se číslo portu ve zprávách protokolu vždy zobrazilo jako číslo a nikdy se nepokoušejte vyhledat jej jako z /etc/services atd. | |
| -P <pidfile> | Zapíše pid procesu ipmon do souboru. Ve výchozím nastavení je to pro všechny ostatní /etc/ipmon.pid. | |
| -s | Načtené informace o paketu budou odeslány přes syslogd, nikoli uloženy do souboru. Výchozí zařízení při kompilaci a instalaci je local0. Používají se následující úrovně: |
|
| LOG_INFO | Pakety protokolované pomocí klíčového slova „log“ jako akce, nikoli jejich předání nebo blokace. | |
| LOG_NOTICE | Protokolované pakety, které jsou také předány. | |
| LOG_WARNING | Protokolované pakety, které jsou také blokovány. | |
| LOG_ERR | Pakety, které byly protokolovány a které lze považovat za „krátké“. | |
| -S <zařízení> | Nastaví soubor protokolu, který se má otevřít pro čtení záznamů protokolu stavu ze <zařízení>. | |
| -t | Načte vstupní soubor / zařízení způsobem podobným příkazu „tail“. | |
| -v | Zobrazí TCP okno, ack a sekvenční pole. | |
| -x | Zobrazí data paketu v hexadecimálním formátu. | |
| -X | Zobrazí záhlavílogu protokolu v hexadecimálním formátu. | |
Diagnostika
Příkaz IPMon očekává, že se data budou číst v souladu s tím, jak by měla být uložena, a přeruší se, pokud selže tvrzení, které detekuje anomálii v zaznamenaných datech.
