scanlogd
Herramienta de detección de escaneo de puertos TCP y los registra en el sistema de logs. Un evento detectado puede parecerse a una línea resumida con IP de origen, destino y lista de puertos/flags, porque scanlogd registra "una línea por escaneo".
# systemctl status scanlogd.service
ver el estado del servicio
# journalctl -u scanlogd -f
mostrar logs
# journalctl -u scanlogd --since today
lo mismo
# journalctl | grep -i scanlogd
lo mismo
# grep -i scanlogd /var/log/syslog /var/log/daemon.log /var/log/messages /var/log/alert* 2>/dev/null
escanear varios archivos en busca de logs de scanlogd
1.-
Ejemplo para controlar su funcionamiento.
En una terminal lanzar
# journalctl -f | grep -i scanlogd
Y en otra
# nmap -Pn -sS -p 1-1000 "$(hostname -I | awk '{print $1}')"
En la primera deberían aparecer los logs del scaneo de nmap.