名称

pflog — パケットフィルタログ記録インタフェース

書式

device pflog

解説

pflog インタフェースは、パケットフィルタ、 pf(4) によってログ登録されたすべてのパケットを目に見えるようにするデバイスです。ログ登録されたパケットは、 pflog インタフェースで tcpdump(1) を呼び出すことによってリアルタイムに、または pflogd(8) を使用してディスクに格納して簡単にモニタすることができます。

pflog0 インタフェースは、 pf(4) と pflogd(8) の両方が有効にされているなら、ブート時に自動的に作成されます。 ifconfig(8) を使用してさらなるインスタンスを作成することができます。

このインタフェースで検索された各パケットは、長さ PFLOG_HDRLEN のそれに関連したヘッダがあります。このヘッダは、ログ登録されたパケットのアドレスファミリ、インタフェース名、ルール (規則) 番号、理由、動作、と方向を記録します。この構造体は、次のように< net/if_pflog.h>で定義されています。

struct pfloghdr { 
 u_int8_t length; 
 sa_family_t af; 
 u_int8_t action; 
 u_int8_t reason; 
 char  ifname[IFNAMSIZ]; 
 char  ruleset[PF_RULESET_NAME_SIZE]; 
 u_int32_t rulenr; 
 u_int32_t subrulenr; 
 uid_t  uid; 
 pid_t  pid; 
 uid_t  rule_uid; 
 pid_t  rule_pid; 
 u_int8_t dir; 
 u_int8_t pad[3]; 
};

使用例

pflog インタフェースを作成し、それにログオンしたすべてのパケットをモニタします:

# ifconfig pflog1 up 
# tcpdump -n -e -ttt -i pflog1

関連項目

tcpdump(1) inet(4), inet6(4), netintro(4), pf(4), ifconfig(8), pflogd(8), tcpdump(1)

歴史

pflog デバイスは、 OpenBSD 3.0 ではじめて登場しました。