IPtables 监控

IPtables 是一个实用程序，允许用户配置 Linux 内核防火墙的 IP 数据包过滤规则，该防火墙作为不同的 Netfilter 模块实现。过滤器组织在不同的表中，这些表包含规则链，用于说明如何处理网络流量数据包。

为什么要使用 IPtables Telegraf 插件？

Linux 内核带有一个名为 Netfilter 的数据包过滤框架，使您能够允许、丢弃和修改进出系统的流量。如果您使用 iptables 实用程序对其进行增强，则可以控制进出系统的流量。IPtables Telegraf 插件允许您通过收集数据包数量和通过规则的数据量来进行带宽监控。iptables 的灵活性和强大功能允许更复杂的监控场景。您可以创建规则，不仅可以跟踪不同的子网，还可以跟踪特定的端口和协议，这使您可以准确跟踪每个客户的网络、电子邮件、文件共享等流量。

如何使用 Telegraf 插件监控 IPtables

IPtables Telegraf 插件从 Linux 的 iptables 防火墙收集一组表和链中规则的数据包和字节计数器。

规则通过关联的注释来标识。没有注释的规则将被忽略。实际上，我们需要规则的唯一 ID，并且规则编号不是常量：当规则在启动时或由自动工具（交互式防火墙、fail2ban 等）插入/删除时，规则编号可能会发生变化。此外，当规则集变得很大（数百行）时，大多数人只对监控规则集的一小部分感兴趣。

在使用此插件之前，您必须确保要监控的规则已使用唯一的注释命名。注释使用 -m comment --comment "my comment" iptables 选项添加。

iptables 命令需要 CAP_NET_ADMIN 和 CAP_NET_RAW 功能。您有多种选项可以授予 telegraf 运行 iptables 的权限

• 以 root 身份运行 telegraf。强烈建议不要这样做。
• 配置 systemd 以使用 CAP_NET_ADMIN 和 CAP_NET_RAW 功能运行 telegraf。这是最简单且推荐的选项。
• 配置 sudo 以授予 telegraf 运行 iptables 的权限。这是限制性最强的选项，但需要设置 sudo。

用于监控的关键 IPtables 指标

您应主动按表、链或规则 ID 监控的一些重要 IPtables 指标包括

• pkts（整数，计数）
• bytes（整数，字节）

项目 URL   文档