¿Redirigir los registros de UFW al archivo propio?

20

¿Hay alguna manera de que pueda redirigir fácilmente las entradas para UFW a su propio archivo de registro en / var / log / ufw en lugar de llenar / var / log / syslog ya que se está volviendo difícil encontrar soluciones a los problemas con todo este material de UFW que pasa volando? ¿yo?

14.04 log ufw Markrich
fuente

Respuestas:

19

En Ubuntu 15.10 y Debian Jessie hay un archivo /etc/rsyslog.d/20-ufw.conf. Contiene en la parte inferior # & ~. Elimine el # delante de él para descomentarlo y actualice rsyslog con el comando /etc/init.d/rsyslog restartpara que tenga en cuenta el cambio de configuración.

chmike
fuente
3
también funciona para 14.04, y es más simple, solo se usa sudo service rsyslog restartdespués de cambiarlo, ¡gracias!
Acuario Power
Esto es lo que funcionó para mí también (14.04). Lo simple es bueno.
pwbred
1
En 18.04 la última línea es # & stoppero hace lo mismo cuando no se comenta, es necesario reiniciar rsyslog.
Sebastian
13

Estoy ejecutando Ubuntu 14.04 también. En mi /etc/rsyslog.d/hay un archivo 20-ufw.confque tiene la siguiente línea:

:msg,contains,"[UFW " /var/log/ufw.log

Lo que he hecho es eliminar ese archivo, y en la parte superior 50-default.confagregué lo siguiente:

: msg, contiene, "[UFW" /var/log/ufw.log
& stop

Reinicie rsyslog con sudo service rsyslog restarty sus registros UFW deben colocarse en su propio archivo y no en ningún otro.

Ackis
fuente
11
¿por qué no simplemente editar 20-ufw.confy agregar el comando de parada allí? De hecho, ya tiene una plantilla que no se puede comentar, y parece funcionar bien en mi prueba rápida.
HRJ
@HRJ ¿Preferencia personal? El archivo 20-ufw.conf solo tiene unas pocas líneas de texto, la mayoría de las cuales son comentarios. Sentí que no era necesario para su propio archivo de configuración. Su sugerencia logra lo mismo realmente: es lo :msg,contains,"[UFW " /var/log/ufw.logque debe modificarse / detenerse.
Ackis
6

ufw usa rsyslog para iniciar sesión /var/log/syslogo /var/log/messages:

Para cambiar el archivo de registro, edite /etc/rsyslog.d/50-default.confy agregue al principio:

:msg, contains, "UFW" -/var/log/ufw.log
& ~

Esto registrará todos los datos que contengan "UFW" para /var/log/ufw.logevitar el procesamiento posterior de dichos datos.

Jobin
fuente
Mientras que ufw.log ahora contiene entradas con sus comandos, syslog aún recibe mensajes.
markrich
Sí, pero syslog informa problemas con sus comandos.
markrich
error durante el análisis del archivo /etc/rsyslog.d/50-default.conf, en la línea 1 o antes: carácter no válido '~': ¿hay alguna secuencia de escape no válida en alguna parte? [pruebe rsyslog.com/e/2207 ] 21 de abril 15:58:41 markys-home-pc rsyslogd-2307: advertencia: ~ la acción está en desuso, considere usar la declaración 'stop' en su lugar [intente rsyslog.com/e/2307 ]
markrich
Copié y pegué. Mismo error.
markrich
El registro ha dejado de aceptar comandos UFW en masa, sin embargo, uno o dos todavía se escabullen. Es mejor ahora, sin embargo, el error de depreciación aún existe.
markrich
5

El 16.04 simplemente comente la última línea en este archivo para que se lea

$ tail -1 /etc/rsyslog.d/20-ufw.conf 
& stop

y reinicie rsyslog

$ sudo systemctl restart rsyslog

a partir de ahora, los registros de ufw estarán en /var/log/ufw.log y ya no estarán en / var / log / syslog

Antonello Piemonte
fuente