← retour aux snippets

nft: monitorer compteurs et logs

Afficher les compteurs de règles, ajouter des log prefix et suivre en live.

bash security #nft#counters#log

objectif

Observer l’efficacité des règles et diagnostiquer les paquets drop.

code minimal

sudo nft list ruleset | awk '/counter packets/ {print}'

utilisation

# ajouter une règle de log
sudo nft add rule inet filter input tcp dport 22 log prefix "SSH_DROP " flags all counter drop

# suivre dans journal
journalctl -k -f | grep SSH_DROP

variante(s) utile(s)

# reset compteurs
sudo nft reset ruleset counters

notes

  • utilisez des prefixes courts; le kernel rate-limit les logs.
  • surveillez aussi nft list counters si disponible.