web-dev-qa-db-fra.com

Existe-t-il un moyen d'empêcher UFW de se déconnecter de dmesg?

Le fichier /etc/rsyslog.d/20-ufw.conf contient des commentaires qui vous permettent de garder les événements UFW non enregistrés dans le journal du noyau et des journaux de messages, ce que j’ai fait.

J'aimerais vraiment obtenir des événements UFW du dmesg également, mais comment y parvenir?

ufwrsyslog
19
3dinfluence

Vous pouvez désactiver la journalisation UFW à l'aide de la commande suivante de Shell:

Sudo ufw logging off

Loglevel par défaut est faible . De page de manuel UFW :

  • off désactive la journalisation gérée par ufw
  • low enregistre tous les paquets bloqués ne correspondant pas à la politique par défaut (avec limitation de débit), ainsi que les paquets correspondant aux règles enregistrées
  • moyen niveau de consignation bas, plus tous les paquets autorisés ne correspondant pas à la stratégie par défaut, tous les paquets INVALID et toutes les nouvelles connexions. Toute la journalisation est faite avec limitation du débit.
  • élevé moyen de niveau de consignation (sans limitation de débit), plus tous les paquets avec limitation de débit
  • complet niveau de journalisation élevé sans limitation de débit

Vous pouvez obtenir le niveau de journalisation actuel avec Sudo ufw status verbose.

17
Mika Vatanen

J'ai fait une enquête sur cette question.

Je ne crois pas qu'il y ait un moyen de contourner cela.

La commande dmesg imprime directement le contenu de la mémoire tampon du noyau. Ceci contient toutes les entrées du journal ufw que vous voyez.

Le fichier /etc/rsyslog.d/20-ufw.conf indique à rsyslog laquelle des entrées ufw de la mémoire tampon du noyau doit se connecter au /var/log/ufw.log ou au /var/log/kern.log.

Vous pouvez empêcher la consignation des entrées ufw dans /var/log/kern.log (pour supprimer les doublons) en supprimant la mise en commentaire de la ligne dans /etc/rsyslog.d/20-ufw.conf contenant & ~.

Malheureusement, il n'existe aucun moyen d'empêcher la commande dmesg d'afficher ces messages. Votre travail est le meilleur que je puisse trouver.

8
Chris Woollard

Pour les personnes souhaitant affiner le niveau de journalisation, je suggère d'utiliser les règles "log" ou "rejeter/refuser" (voir la page de manuel ufwNAME_ pour plus de détails). Par exemple, vous pouvez utiliser la "déconnexion" puis insérer des règles de journalisation explicites pour ce que vous souhaitez journaliser. Sinon, vous pouvez utiliser 'logging low' puis insérer des règles explicites de refus/rejet pour refuser discrètement les correspondances qui seraient autrement consignées.

4
Anuser

Vous pouvez également simplement utiliser grep pour filtrer les messages UFW. Par exemple,

dmesg | grep -v UFW

De cette façon, vous pouvez également conserver la journalisation pour révision.

1
carmichel