Есть ли способ сохранить UFW выход из dmesg?
В файле /etc/rsyslog.d/20-ufw.conf есть комментарии, которые дают вам возможность предотвратить запись событий UFW в ядро и журналы сообщений, что я и сделал.
Я бы очень хотел получить UFW-события из dmesg, но как этого добиться?
5 ответов
Вы можете отключить ведение журнала UFW с помощью следующей команды из оболочки:
sudo ufw logging off
Уровень логирования по умолчанию - низкий . Из справочной страницы UFW :
- выкл. отключает ведение журнала UFW
- низкий регистрирует все заблокированные пакеты, не соответствующие политика по умолчанию (с ограничением скорости), а также пакеты, соответствующие зарегистрированным правилам
- средний низкий уровень журнала, плюс все разрешенные пакеты, не соответствующие политике по умолчанию, все пакеты INVALID и все новые соединения. Все записи ведутся с ограничением скорости.
- высокий средний уровень регистрации (без ограничения скорости), плюс все пакеты с ограничением скорости
- полный высокий уровень регистрации без ограничения скорости
Вы можете получить текущий уровень журнала с помощью sudo ufw status verbose.
Я провел некоторое исследование по этому вопросу.
Я не верю, что есть способ обойти это.
Команда dmesg напрямую печатает содержимое кольцевого буфера ядра. Он содержит все записи журнала UFW, которые вы видите.
Файл /etc/rsyslog.d/20-ufw.conf сообщает rsyslog, какую из записей ufw в кольцевом буфере ядра записать в /var/log/ufw.log или /var/log/kern.log.
Вы можете предотвратить запись записей ufw в /var/log/kern.log (для устранения дублирования), раскомментировав строку в /etc/rsyslog.d/20-ufw.conf, содержащую & ~.
К сожалению, нет способа помешать команде dmesg отображать эти сообщения. Твоя работа - лучшее, что я могу придумать.
Вы также можете просто использовать grep для фильтрации сообщений UFW. Например,
dmesg | grep -v UFW
Таким образом, вы также можете вести журнал для просмотра.
Для людей, которые хотели бы более точно настроить уровень журнала, я предлагаю использовать правила 'log' или отклонить / отказать (подробности см. В справочной странице ufw ). Например, вы можете использовать «выход из системы», а затем вставить явные правила ведения журнала для того, что вы хотите регистрировать. В качестве альтернативы, вы можете использовать 'logging low', а затем вставить явные правила запрета / отклонения, чтобы спокойно запретить совпадения, которые в противном случае были бы зарегистрированы.
Вышеупомянутый ответ является единственным путем:
dmesg | grep -v UFW
Но можно использовать это более легко путем установки псевдонима как это:
alias dmesg='dmesg | grep -v UFW'
Это выполнится dmesg | grep -v UFW если Вы входите dmesg.
Если Вы хотите сохранить красочную версию dmesg, можно использовать следующую команду:
alias dmesg='dmesg --color=always | grep -v UFW --color=always'
Сюда dmesg используйте цвета по каналу также.
ПРЕДУПРЕЖДЕНИЕ! Только используйте этот метод при просмотре журналов и поиске чего-то, потому что это могло бы повредить некоторые сторонние сценарии на той сессии.