Czy istnieje sposób, aby uniemożliwić wylogowanie UFW z dmesg?

23

W /etc/rsyslog.d/20-ufw.confpliku znajdują się komentarze , które dają ci możliwość uniknięcia rejestrowania zdarzeń UFW w jądrze i dziennikach komunikatów, co zrobiłem.

Naprawdę chciałbym też wydobyć z tego zdarzenia UFW dmesg, ale jak to osiągnąć?

ufw rsyslog

— 3dinfluence
źródło

4

Na chwilę obecną właśnie alias dmesg za pomocą dmesg | grep -v UFW.

— 3dinfluence

Powiązane błędy w Launchpad: 1264621 i 1475676 .

— Pablo Bianchi,

21

Możesz wyłączyć rejestrowanie UFW za pomocą następującego polecenia z powłoki:

sudo ufw logging off

Domyślnie loglevel jest niski . Ze strony podręcznika UFW :

off wyłącza logowanie zarządzane przez ufw
niski rejestruje wszystkie zablokowane pakiety niezgodne z domyślną polityką (z ograniczeniem prędkości), a także pakiety pasujące do zarejestrowanych reguł
średni poziom dziennika niski, plus wszystkie dozwolone pakiety niezgodne z domyślną polityką, wszystkie NIEPRAWIDŁOWE pakiety i wszystkie nowe połączenia. Całe rejestrowanie odbywa się z ograniczeniem prędkości.
wysoki poziom log średni (bez ograniczenia prędkości), plus wszystkie pakiety z ograniczeniem prędkości
pełny poziom dziennika wysoki bez ograniczenia prędkości

Możesz uzyskać bieżący poziom dziennika za pomocą sudo ufw status verbose.

— Mika Vatanen
źródło

7

Przeprowadziłem dochodzenie w tej sprawie.

Nie wierzę, że jest na to sposób.

dmesgPolecenie bezpośrednio drukuje zawartość jądra pierścienia Buffer. Zawiera wszystkie widoczne wpisy dziennika ufw.

/etc/rsyslog.d/20-ufw.confPlik mówi rsyslog które z UFW wpisów w jądrze pierścienia buforu do zalogowania się albo /var/log/ufw.logalbo /var/log/kern.log.

Możesz zapobiec logowaniu wpisów ufw do /var/log/kern.log(w celu usunięcia duplikacji), usuwając komentarz z linii, /etc/rsyslog.d/20-ufw.confktóra zawiera & ~.

Niestety nie ma sposobu, aby dmesgpolecenie nie wyświetlało tych komunikatów. Twoja praca jest najlepsza, jaką mogę wymyślić.

— Chris Woollard
źródło

Chris dziękuje za przyjrzenie się temu. +1 za wysiłek. Na razie pozostawiam pytanie bez odpowiedzi, aby sprawdzić, czy ktoś jeszcze ma jakieś pomysły. Być może nie ma rozwiązania tego problemu i napiszę błąd na starterze, ponieważ jestem pewien, że są inni, którzy lubią pilnować dmesg, aby upewnić się, że nie występują problemy ze sprzętem na swoim serwerze i nie dbają o to, aby zobaczyć wpisy UFW.

— 3dinfluence

Wystarczy wspomnieć o zgłoszonych błędach: (zarchiwizowane) Błąd Debiana # 664748 i błąd Launchpad # 555852 wydają się teraz śledzić ten problem.

— Jani Uusitalo

4

Dla osób, które chcą dokładniej dostroić poziom logów, sugeruję użycie logu lub reguł odrzucania / odrzucania (szczegóły na ufwstronie podręcznika ). Na przykład możesz użyć opcji „wylogowania”, a następnie wstawić jawne reguły rejestrowania dla tego, co chcesz zalogować. Alternatywnie możesz użyć opcji „niski poziom rejestrowania”, a następnie wstawić jawne reguły odmowy / odrzucenia, aby po cichu odmówić dopasowań, które w innym przypadku byłyby rejestrowane.

— Anuser
źródło

1

Możesz także użyć grep do odfiltrowania wiadomości UFW. Na przykład,

dmesg | grep -v UFW

W ten sposób możesz także zachować rejestrowanie do recenzji.

— Carmichel
źródło

Jest to mało przydatne, ponieważ na dowolnym serwerze z dostępem do Internetu w dziennikach nie ma nic poza komunikatami UFW.

— Antti Haapala

1

Powyższa odpowiedź jest jedynym sposobem:

    dmesg | grep -v UFW

Możesz jednak użyć tego łatwiej, ustawiając taki alias:

    alias dmesg='dmesg | grep -v UFW'

Zostanie wykonane, dmesg | grep -v UFWjeśli wejdziesz dmesg.

Jeśli chcesz zachować kolorową wersję dmesg, możesz użyć następującego polecenia:

    alias dmesg='dmesg --color=always | grep -v UFW --color=always'

W ten sposób dmesgużyj także kolorów na rurze.

OSTRZEŻENIE! Używaj tej metody tylko podczas przeglądania dzienników i szukania czegoś, ponieważ może to spowodować uszkodzenie niektórych skryptów innych firm w tej sesji.

— Matthew Friday
źródło