C'è un modo per mantenere la disconnessione UFW da dmesg?

23

Ci sono commenti nel /etc/rsyslog.d/20-ufw.conffile che ti danno la possibilità di impedire che gli eventi UFW vengano registrati nel kernel e nei log dei messaggi, cosa che ho fatto.

Mi piacerebbe davvero far uscire anche gli eventi UFW dmesg, ma come riuscirci ?

ufw  rsyslog 
3dinfluence
fonte
4
Per il momento, ho appena modificato il dmesg con dmesg | grep -v UFW.
3dinfluence
Bug correlati su Launchpad: 1264621 e 1475676 .
Pablo Bianchi,

Risposte:

21

È possibile disabilitare la registrazione UFW con il seguente comando dalla shell:

sudo ufw logging off

Il livello predefinito di Google è basso . Dalla pagina man UFW :

  • off disabilita la registrazione gestita uww
  • basso registra tutti i pacchetti bloccati che non corrispondono alla politica predefinita (con limitazione della velocità), così come i pacchetti corrispondenti alle regole registrate
  • livello di log medio basso, oltre a tutti i pacchetti consentiti che non corrispondono alla politica predefinita, tutti i pacchetti INVALID e tutte le nuove connessioni. Tutta la registrazione viene eseguita con limitazione della velocità.
  • alto livello mezzo log (senza limitazione di velocità), più tutti i pacchetti con limitazione della velocità
  • livello di registro completo alto senza limitazione della velocità

È possibile ottenere il livello di registro corrente con sudo ufw status verbose.

Mika Vatanen
fonte
7

Ho fatto qualche indagine su questo problema.

Non credo che ci sia un modo per aggirare questo.

Il dmesgcomando stampa direttamente il contenuto del Kernel Ring Buffer. Questo contiene tutte le voci del registro ufw che stai vedendo.

Il /etc/rsyslog.d/20-ufw.conffile dice a rsyslog quale delle voci ufw nel buffer del kernel kernel accede al /var/log/ufw.logo /var/log/kern.log.

È possibile impedire che le voci ufw vengano registrate /var/log/kern.log(per rimuovere la duplicazione) decommentando la riga in /etc/rsyslog.d/20-ufw.confessa contenuta & ~.

Sfortunatamente non c'è modo di impedire al dmesgcomando di visualizzare questi messaggi. Il tuo lavoro è il migliore che riesco a inventare.

Chris Woollard
fonte
Chris grazie per aver esaminato questo. +1 per lo sforzo. Per ora lascerò la domanda senza risposta per vedere se qualcun altro ha qualche idea. Forse non c'è soluzione a questo e presenterò un bug sul launchpad poiché sono sicuro che ci sono altri a cui piace tenere d'occhio dmesg per assicurarsi che non ci siano problemi hardware con il loro server e non mi interessa vedere le voci UFW.
3dinfluence
Solo per raccogliere le segnalazioni di bug citate: (archiviato) il bug Debian n. 664748 e il bug del Launchpad n. 555852 sembrano ora tenere traccia di questo problema.
Jani Uusitalo,
4

Per le persone che desiderano perfezionare ulteriormente il livello del registro, suggerisco di usare "registro" o rifiutare / negare le regole (vedere la ufwpagina man per i dettagli). Ad esempio, è possibile utilizzare la disconnessione e quindi inserire regole di registrazione esplicite per ciò che si desidera registrare. In alternativa, è possibile utilizzare 'registrazione insufficiente' e quindi inserire regole esplicite di rifiuto / rifiuto per negare silenziosamente corrispondenze che verrebbero altrimenti registrate.

Un utente ha
fonte
1

Puoi anche usare grep per filtrare i messaggi UFW. Per esempio,

dmesg | grep -v UFW

In questo modo è anche possibile conservare la registrazione per la revisione.

Carmichel
fonte
Questo non è molto utile perché su qualsiasi server reale di fronte a Internet non c'è nient'altro in nessun registro oltre ai messaggi UFW.
Antti Haapala,
1

La risposta sopra è l'unico modo:

    dmesg | grep -v UFW

Ma puoi usarlo più facilmente, impostando un alias come questo:

    alias dmesg='dmesg | grep -v UFW'

Questo verrà eseguito dmesg | grep -v UFWse si immette dmesg.

Se vuoi mantenere la versione colorata di dmesg, puoi usare il seguente comando:

    alias dmesg='dmesg --color=always | grep -v UFW --color=always'

In questo modo dmesgusa anche i colori sul tubo.

AVVERTIMENTO! Utilizzare questo metodo solo durante la visualizzazione dei registri e la ricerca di qualcosa, poiché ciò potrebbe interrompere alcuni script di terze parti in quella sessione.

Matthew Friday
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.