Day 7：網路連線與流量日誌

2025 iThome 鐵人賽

DAY 7

自我挑戰組

日誌檢查學習自我挑戰系列第 7 篇

17th鐵人賽

vvlj6306

2025-09-21 21:22:40

47 瀏覽

分享至

系統層級網路事件
檢查連線是否異常斷線、介面是否異常重啟：
查看 kernel 與網卡有關的紀錄
dmesg | grep -i eth
查看網路事件
journalctl -u NetworkManager
journalctl -u network
檢查是否有介面反覆 down/up、IP衝突、DHCP請求失敗、driver 錯誤訊息
防火牆 / iptables / firewalld
查看防火牆日誌 (通常記錄在 /var/log/messages 或 /var/log/firewalld)
grep -i "DROP" /var/log/messages
grep -i "REJECT" /var/log/messages
然後DROP跟REJECT這兩個其實都是防火牆（iptables / firewalld）在記錄封包被擋下時的訊息，不過 DROP 與 REJECT 行為上有差異：
DROP
行為：直接丟棄封包，不回應對方。
結果：連線端會一直等，最後逾時。
用途：
隱藏主機存在，不給任何回應。
常用於對付惡意掃描、暴力攻擊。
REJECT
行為：丟棄封包，但會回傳「拒絕」訊息給對方。
結果：連線端立刻知道連不上，不需要等逾時。
用途：
用在內部網路（讓使用者馬上知道被禁止，而不是以為網路壞掉）。
方便除錯
Proxy 主機的存取紀錄
Squid 的存取紀錄
cat /var/log/squid/access.log | tail -n 20
檢查是否有大量來自單一 IP的異常連線或是否有外部惡意網站請求
DHCP 相關日誌
在 /var/log/messages 或 /var/log/syslog：
grep dhcpd /var/log/messages
檢查是否有租約發放失敗 (no free leases)或是否有重複 IP 租約.
DNS 伺服器日誌
BIND (named) 常見在 /var/log/messages 或自定義的 /var/log/named/
grep named /var/log/messages
檢查是否有 DNS query flood、大量查詢不存在的網域、recursion 錯誤
網管系統日誌
如果是 SNMP / SolarWinds / 其他監控
檢查SNMP Trap是否正常寫入log及監控agent是否有斷線紀錄
結論:
在日誌檢查的工作裡，每天都要假設系統可能存在異常，因此必須持續檢視與比對各項紀錄。透過 grep、journalctl 等方式去過濾關鍵字（如 DROP、REJECT、ERROR 等），讓我們能即時發現潛在問題。