在Debian系统中,网络连接的日志记录主要依赖于系统日志服务,如rsyslog或syslog-ng
rsyslog已安装并运行。在大多数Debian版本中,rsyslog是默认安装的。你可以使用以下命令检查其状态:sudo systemctl status rsyslog
如果rsyslog未运行,请使用以下命令启动它:
sudo systemctl start rsyslog
rsyslog以便记录网络连接信息。打开rsyslog的配置文件:sudo nano /etc/rsyslog.conf
在配置文件中,找到以下行:
# Provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
# Provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
取消这两行的注释(删除行首的#),以启用UDP和TCP协议的日志接收。
authpriv设施。在配置文件中找到以下行:authpriv.* /var/log/auth.log
将这行更改为:
authpriv.* /var/log/auth.log
kern.* -/var/log/kern.log
这将把内核日志(包括网络连接信息)记录到/var/log/kern.log文件中。
rsyslog服务以应用更改:sudo systemctl restart rsyslog
现在,rsyslog将记录网络连接信息到/var/log/kern.log文件中。你可以使用以下命令查看日志:
sudo tail -f /var/log/kern.log
这将实时显示kern.log文件中的新条目。