Przekierować dzienniki UFW do własnego pliku?

20

Czy istnieje sposób, w jaki mogę łatwo przekierować wpisy dla UFW do ich własnego pliku dziennika w / var / log / ufw zamiast wypełniać / var / log / syslog, ponieważ znalezienie rozwiązania problemów z tymi wszystkimi latającymi UFW jest trudne mnie?

14.04 log ufw markrich
źródło

Odpowiedzi:

19

W Ubuntu 15.10 i Debian Jessie znajduje się plik /etc/rsyslog.d/20-ufw.conf. Zawiera na dole # & ~. Usuń # przed nim, aby anulować komentarz i odśwież rsyslog za pomocą polecenia, /etc/init.d/rsyslog restartaby uwzględnić zmianę konfiguracji.

chmike
źródło
3
działa również w wersji 14.04 i jest prostszy, używany sudo service rsyslog restartpo zmianie, dzięki!
Aquarius Power
To też zadziałało dla mnie (14.04). Proste jest dobre.
pwbred
1
W 18.04 ostatnia linia jest, # & stopale robi to samo, gdy nie jest komentowana, rsyslog musi zostać zrestartowany.
Sebastian
13

Używam również Ubuntu 14.04. W moim /etc/rsyslog.d/pliku 20-ufw.confjest następujący wiersz:

:msg,contains,"[UFW " /var/log/ufw.log

To, co zrobiłem, to usunięcie tego pliku, a na górze 50-default.confdodałem następujące:

: msg, zawiera „[UFW” /var/log/ufw.log
& stop

Zrestartuj rsyslog za pomocą, sudo service rsyslog restarta twoje dzienniki UFW powinny zostać umieszczone we własnym pliku, a nie w żadnym innym.

Ackis
źródło
11
dlaczego po prostu nie edytuj 20-ufw.confi dodaj tam polecenia zatrzymania? W rzeczywistości ma już szablon, którego nie można komentować, i wydaje się, że działa dobrze w moim szybkim teście.
HRJ,
@HRJ Preferencje osobiste? Plik 20-ufw.conf zawiera tylko kilka wierszy tekstu, z których większość to komentarze. Czułem, że nie jest konieczne tworzenie własnego pliku konfiguracyjnego. Twoja sugestia osiąga dokładnie to samo - :msg,contains,"[UFW " /var/log/ufw.logtrzeba ją zmodyfikować / zatrzymać.
Ackis,
6

ufw używa rsyslog do logowania do /var/log/sysloglub /var/log/messages:

Aby zmienić plik dziennika, edytuj /etc/rsyslog.d/50-default.confi do góry dodaj:

:msg, contains, "UFW" -/var/log/ufw.log
& ~

Spowoduje to zarejestrowanie wszystkich danych zawierających „UFW”, aby /var/log/ufw.logzapobiec dalszemu przetwarzaniu takich danych.

Praca w
źródło
Chociaż ufw.log zawiera teraz wpisy z twoimi poleceniami, syslog nadal odbiera wiadomości.
markrich
Tak, ale syslog zgłasza problemy z Twoimi poleceniami.
markrich
błąd podczas analizowania pliku /etc/rsyslog.d/50-default.conf, w wierszu 1 lub przed nim: niepoprawny znak „~” - czy jest gdzieś niepoprawna sekwencja zmiany znaczenia? [spróbuj rsyslog.com/e/2207 ] 21 kwietnia 15:58:41 markys-home-pc rsyslogd-2307: ostrzeżenie: ~ akcja jest przestarzała, rozważ użycie zamiast tego instrukcji „stop” [spróbuj rsyslog.com/e/2307 ]
markrich
Skopiowałem i wkleiłem. Ten sam błąd.
markrich
Dziennik przestał akceptować polecenia UFW w odniesieniu do masy, jednak jedno lub dwa wciąż się do nich wkradają. Teraz jest lepiej, jednak błąd amortyzacji nadal istnieje.
markrich
5

W dniu 16.04 po prostu skomentuj ostatni wiersz w tym pliku, aby mógł zostać odczytany

$ tail -1 /etc/rsyslog.d/20-ufw.conf 
& stop

i zrestartuj rsyslog

$ sudo systemctl restart rsyslog

od teraz dzienniki ufw będą znajdować się w /var/log/ufw.log, a nie w / var / log / syslog

Antonello Piemonte
źródło