Как найти то, что дамп в системный журнал?
Файл /var/log/syslog (Ubuntu 16.04LTS) в настоящее время быстро расширяется, и когда я проверяю содержимое журнала, он полностью заполняется:
Dec 5 17:49:40 Desktop1 kernel: [54948.301365] IN=wlo1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=88 TOS=0x10 PREC=0x00 TTL=64 ID=33465 DF PROTO=TCP SPT=59882 DPT=22 WINDOW=4096 RES=0x00 ACK PSH URGP=0
Без исключения.
Я понимаю, что файл Linux syslog представляет собой общий дамп для сетевых событий процесса, однако я не припоминаю, чтобы когда-либо происходило насыщение syslog в этом масштабе, и сетевая активность для меня нормальная.
Я возился с наборами правил Iptables и UFW, и вполне возможно, что я каким-то образом непреднамеренно улучшил ведение журнала. Несмотря на это, сетевые события перечислены как Kernel и не дают представления о том, какой процесс ответственен.
Возможно, я просто невежественен, и это совершенно нормально, но на всякий случай:
Мои вопросы:
- Является ли сетевой IO регистрация в этом масштабе нормальна?
Если нет: то я предполагаю, что простое восстановление наборов правил iptables и UFW должно обеспечить быстрое исправление:
- Как сделать Я нахожу файлы правил iptables и восстанавливаю их?
- Как найти файлы правил UFW и восстановить их?
(Ubuntu 16.04 LTS)
1 ответ
ufw является интерфейсом для iptables, поэтому нам нужен только адрес ufw. Смотрите: https://wiki.ubuntu.com/UncomplicatedFirewall Ваш системный журнал заполнен до уровня в килобайтах, мегабайт или даже больше? Узнать:
ls -al /var/log/syslog*
ls -al /var/log/ufw*
Вы можете восстановить ufw по умолчанию с помощью:
sudo ufw reset
Эта команда также отключает ufw, поэтому, если вы хотите, чтобы он был перезапущен с уровнями по умолчанию, выполните:
sudo ufw enable
Уровень регистрации можно настроить с помощью:
sudo ufw logging LEVEL
Где LEVEL может быть «выключен», «низкий», «средний», «высокий» и «полный». UFW по умолчанию «низкий».
Ссылка: man ufw