Czy istnieje sposób, aby uniemożliwić wylogowanie UFW z dmesg?

23

W /etc/rsyslog.d/20-ufw.confpliku znajdują się komentarze , które dają ci możliwość uniknięcia rejestrowania zdarzeń UFW w jądrze i dziennikach komunikatów, co zrobiłem.

Naprawdę chciałbym też wydobyć z tego zdarzenia UFW dmesg, ale jak to osiągnąć?

ufw rsyslog 3dinfluence
źródło
4
Na chwilę obecną właśnie alias dmesg za pomocą dmesg | grep -v UFW.
3dinfluence
Powiązane błędy w Launchpad: 1264621 i 1475676 .
Pablo Bianchi,

Odpowiedzi:

21

Możesz wyłączyć rejestrowanie UFW za pomocą następującego polecenia z powłoki:

sudo ufw logging off

Domyślnie loglevel jest niski . Ze strony podręcznika UFW :

  • off wyłącza logowanie zarządzane przez ufw
  • niski rejestruje wszystkie zablokowane pakiety niezgodne z domyślną polityką (z ograniczeniem prędkości), a także pakiety pasujące do zarejestrowanych reguł
  • średni poziom dziennika niski, plus wszystkie dozwolone pakiety niezgodne z domyślną polityką, wszystkie NIEPRAWIDŁOWE pakiety i wszystkie nowe połączenia. Całe rejestrowanie odbywa się z ograniczeniem prędkości.
  • wysoki poziom log średni (bez ograniczenia prędkości), plus wszystkie pakiety z ograniczeniem prędkości
  • pełny poziom dziennika wysoki bez ograniczenia prędkości

Możesz uzyskać bieżący poziom dziennika za pomocą sudo ufw status verbose.

Mika Vatanen
źródło
7

Przeprowadziłem dochodzenie w tej sprawie.

Nie wierzę, że jest na to sposób.

dmesgPolecenie bezpośrednio drukuje zawartość jądra pierścienia Buffer. Zawiera wszystkie widoczne wpisy dziennika ufw.

/etc/rsyslog.d/20-ufw.confPlik mówi rsyslog które z UFW wpisów w jądrze pierścienia buforu do zalogowania się albo /var/log/ufw.logalbo /var/log/kern.log.

Możesz zapobiec logowaniu wpisów ufw do /var/log/kern.log(w celu usunięcia duplikacji), usuwając komentarz z linii, /etc/rsyslog.d/20-ufw.confktóra zawiera & ~.

Niestety nie ma sposobu, aby dmesgpolecenie nie wyświetlało tych komunikatów. Twoja praca jest najlepsza, jaką mogę wymyślić.

Chris Woollard
źródło
Chris dziękuje za przyjrzenie się temu. +1 za wysiłek. Na razie pozostawiam pytanie bez odpowiedzi, aby sprawdzić, czy ktoś jeszcze ma jakieś pomysły. Być może nie ma rozwiązania tego problemu i napiszę błąd na starterze, ponieważ jestem pewien, że są inni, którzy lubią pilnować dmesg, aby upewnić się, że nie występują problemy ze sprzętem na swoim serwerze i nie dbają o to, aby zobaczyć wpisy UFW.
3dinfluence
Wystarczy wspomnieć o zgłoszonych błędach: (zarchiwizowane) Błąd Debiana # 664748 i błąd Launchpad # 555852 wydają się teraz śledzić ten problem.
Jani Uusitalo
4

Dla osób, które chcą dokładniej dostroić poziom logów, sugeruję użycie logu lub reguł odrzucania / odrzucania (szczegóły na ufwstronie podręcznika ). Na przykład możesz użyć opcji „wylogowania”, a następnie wstawić jawne reguły rejestrowania dla tego, co chcesz zalogować. Alternatywnie możesz użyć opcji „niski poziom rejestrowania”, a następnie wstawić jawne reguły odmowy / odrzucenia, aby po cichu odmówić dopasowań, które w innym przypadku byłyby rejestrowane.

Anuser
źródło
1

Możesz także użyć grep do odfiltrowania wiadomości UFW. Na przykład,

dmesg | grep -v UFW

W ten sposób możesz także zachować rejestrowanie do recenzji.

Carmichel
źródło
Jest to mało przydatne, ponieważ na dowolnym serwerze z dostępem do Internetu w dziennikach nie ma nic poza komunikatami UFW.
Antti Haapala
1

Powyższa odpowiedź jest jedynym sposobem:

    dmesg | grep -v UFW

Możesz jednak użyć tego łatwiej, ustawiając taki alias:

    alias dmesg='dmesg | grep -v UFW'

Zostanie wykonane, dmesg | grep -v UFWjeśli wejdziesz dmesg.

Jeśli chcesz zachować kolorową wersję dmesg, możesz użyć następującego polecenia:

    alias dmesg='dmesg --color=always | grep -v UFW --color=always'

W ten sposób dmesgużyj także kolorów na rurze.

OSTRZEŻENIE! Używaj tej metody tylko podczas przeglądania dzienników i szukania czegoś, ponieważ może to spowodować uszkodzenie niektórych skryptów innych firm w tej sesji.

Matthew Friday
źródło