在CentOS系统中，防火墙日志的分析可以通过以下步骤进行：

启用防火墙日志记录

首先，确保iptables的日志记录功能是启用的。你可以通过查看iptables的配置文件或使用命令行工具来检查当前的日志记录设置。如果需要启用日志记录，可以使用以下命令：

iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: " --log-level 4

这个命令会将所有进入的流量记录到日志中，并使用指定的前缀和日志级别。

查看防火墙日志

在启用日志记录功能后，可以使用以下命令查看iptables日志：

sudo tail -f /var/log/messages

或者，对于CentOS 7及以上版本，使用journalctl命令：

sudo journalctl -xe

日志分析命令

使用以下命令行工具进行日志分析：

• 统计被丢弃的IP地址：

cat /var/log/messages | grep "IPTables-Dropped" | awk '{print $11}' | sort | uniq -c | sort -nr

• 筛选特定时间段内的日志：

sudo journalctl --since "2023-08-01" --until "2023-08-02" _SYSTEMD_UNIT=firewalld.service

使用日志分析工具

对于更复杂的日志分析，可以使用专门的日志分析工具，如ELK Stack(Elasticsearch, Logstash, Kibana)或Splunk。这些工具提供了强大的搜索、可视化和报警功能。

自动化分析

你可以编写脚本来自动化日志分析过程。例如，创建一个bash脚本，定期运行并生成报告。

请注意，日志分析是一个持续的过程，需要定期审查和调整策略以适应不断变化的网络环境和安全威胁。