¿Hay alguna manera de mantener el cierre de sesión de UFW fuera de dmesg?

23

Hay comentarios en el /etc/rsyslog.d/20-ufw.confarchivo que le dan la opción de evitar que los eventos UFW se registren en el núcleo y en los registros de mensajes, lo que he hecho.

Realmente me gustaría sacar los eventos UFW dmesgtambién, pero ¿cómo lograrlo?

3dinfluence
fuente
44
Como solución temporal por ahora, acabo de alias dmesg con dmesg | grep -v UFW.
3dinfluence el
Errores relacionados en Launchpad: 1264621 y 1475676 .
Pablo Bianchi

Respuestas:

21

Puede deshabilitar el registro UFW con el siguiente comando desde el shell:

sudo ufw logging off

El nivel de registro predeterminado es bajo . Desde la página de manual de UFW :

  • off desactiva el registro administrado de ufw
  • Low registra todos los paquetes bloqueados que no coinciden con la política predeterminada (con limitación de velocidad), así como los paquetes que coinciden con las reglas registradas
  • nivel de registro medio bajo, más todos los paquetes permitidos que no coinciden con la política predeterminada, todos los paquetes NO VÁLIDOS y todas las conexiones nuevas. Todo el registro se realiza con limitación de velocidad.
  • alta medio nivel de registro (sin limitación de velocidad), más todos los paquetes con limitación de velocidad
  • nivel de registro completo alto sin limitación de velocidad

Puede obtener el nivel de registro actual con sudo ufw status verbose.

Mika Vatanen
fuente
7

He investigado un poco sobre este tema.

No creo que haya una forma de evitar esto.

El dmesgcomando imprime directamente el contenido del Kernel Ring Buffer. Contiene todas las entradas de registro de ufw que está viendo.

El /etc/rsyslog.d/20-ufw.confarchivo le dice a rsyslog cuál de las entradas de ufw en el Kernel Ring Buffer debe iniciar sesión en /var/log/ufw.logo /var/log/kern.log.

Puede evitar que las entradas de ufw se registren en /var/log/kern.log(para eliminar la duplicación) descomentando la línea /etc/rsyslog.d/20-ufw.confque contiene & ~.

Lamentablemente, no hay forma de evitar que el dmesgcomando muestre estos mensajes. Su trabajo es lo mejor que se me ocurre.

Chris Woollard
fuente
Chris, gracias por investigar esto. +1 por el esfuerzo. Sin embargo, voy a dejar la pregunta sin responder por ahora para ver si alguien más tiene alguna idea. Tal vez no haya solución para esto y archivaré un error en la plataforma de lanzamiento, ya que estoy seguro de que hay otros a los que les gusta vigilar dmesg para asegurarse de que no haya problemas de hardware con su servidor y no les importe ver Las entradas UFW.
3dinfluence el
Solo para retomar los informes de errores mencionados: (archivado) El error de Debian # 664748 y el error de Launchpad # 555852 ahora parecen rastrear este problema.
Jani Uusitalo
4

Para las personas que deseen ajustar aún más el nivel de registro, les sugiero que utilicen 'log' o reglas de rechazo / denegación (consulte la ufwpágina del manual para obtener más detalles). Por ejemplo, puede usar 'cerrar sesión' y luego insertar reglas de registro explícitas para lo que desea registrar. Alternativamente, puede usar 'logging low' y luego insertar reglas explícitas de negar / rechazar para negar silenciosamente las coincidencias que de otro modo se registrarían.

Un usuario
fuente
1

También puede usar grep para filtrar los mensajes UFW. Por ejemplo,

dmesg | grep -v UFW

De esta manera, también puede mantener el registro para su revisión.

carmichel
fuente
Esto no es útil porque en cualquier servidor real que esté frente a Internet no hay nada más en los registros además de los mensajes UFW.
Antti Haapala
1

La respuesta anterior es la única forma:

    dmesg | grep -v UFW

Pero puede usar esto más fácilmente, estableciendo un alias como este:

    alias dmesg='dmesg | grep -v UFW'

Esto se ejecutará dmesg | grep -v UFWsi ingresas dmesg.

Si desea mantener la versión colorida de dmesg, puede usar el siguiente comando:

    alias dmesg='dmesg --color=always | grep -v UFW --color=always'

De esta manera, dmesguse colores sobre la tubería también.

¡ADVERTENCIA! Solo use este método mientras visualiza registros y busca algo, ya que esto podría romper algunos scripts de terceros en esa sesión.

Mateo viernes
fuente