Existe-t-il un moyen de garder la déconnexion UFW de dmesg?

23

Il y a des commentaires dans le /etc/rsyslog.d/20-ufw.conffichier qui vous donnent la possibilité d'empêcher les événements UFW d'être enregistrés dans le noyau et les journaux de messages, ce que j'ai fait.

J'aimerais vraiment retirer les événements UFW du dmesgmais aussi, mais comment y parvenir?

3dinfluence
la source
4
En guise de solution pour l'instant, je viens d'aliaser dmesg avec dmesg | grep -v UFW.
3dinfluence
Bogues liés au Launchpad: 1264621 et 1475676 .
Pablo Bianchi

Réponses:

21

Vous pouvez désactiver la journalisation UFW avec la commande suivante du shell:

sudo ufw logging off

Le niveau de journalisation par défaut est faible . Depuis la page de manuel UFW :

  • off désactive la journalisation gérée par ufw
  • faible enregistre tous les paquets bloqués ne correspondant pas à la stratégie par défaut (avec limitation de débit), ainsi que les paquets correspondant aux règles enregistrées
  • niveau de journalisation moyen bas, plus tous les paquets autorisés ne correspondant pas à la stratégie par défaut, tous les paquets INVALIDES et toutes les nouvelles connexions. Toute la journalisation est effectuée avec une limitation de débit.
  • haut niveau moyen de log (sans limitation de débit), ainsi que tous les paquets avec la limitation du débit
  • niveau de journal complet élevé sans limitation de débit

Vous pouvez obtenir le niveau de journal actuel avec sudo ufw status verbose.

Mika Vatanen
la source
7

J'ai fait une enquête sur cette question.

Je ne crois pas qu'il existe un moyen de contourner cela.

La dmesgcommande imprime directement le contenu de la mémoire tampon en anneau du noyau. Il contient toutes les entrées du journal ufw que vous voyez.

Le /etc/rsyslog.d/20-ufw.conffichier indique à rsyslog laquelle des entrées ufw du Kernel Ring Buffer doit se connecter à /var/log/ufw.logou /var/log/kern.log.

Vous pouvez empêcher les entrées ufw de se connecter à /var/log/kern.log(pour supprimer la duplication) en supprimant la mise en commentaire de la ligne /etc/rsyslog.d/20-ufw.confqui contient & ~.

Malheureusement, il n'existe aucun moyen d'empêcher la dmesgcommande d'afficher ces messages. Votre travail est le meilleur que je puisse trouver.

Chris Woollard
la source
Chris vous remercie de votre attention. +1 pour l'effort. Je vais laisser la question sans réponse pour l'instant pour voir si quelqu'un d'autre a des idées. Peut-être qu'il n'y a pas de solution à cela et je déposerai un bogue sur le tableau de bord car je suis sûr qu'il y en a d'autres qui aiment garder un œil sur dmesg pour s'assurer qu'il n'y a pas de problème matériel avec leur serveur et ne se soucient pas de voir les entrées UFW.
3dinfluence
Juste pour reprendre vos rapports de bogues: (archivé) le bogue Debian # 664748 et le bogue Launchpad # 555852 semblent maintenant suivre ce problème.
Jani Uusitalo
4

Pour les personnes qui souhaitent affiner davantage le niveau de journalisation, je suggère d'utiliser des règles de journalisation ou de rejet / refus (voir la ufwpage de manuel pour plus de détails). Par exemple, vous pouvez utiliser la «déconnexion», puis insérer des règles de journalisation explicites pour ce que vous souhaitez vous connecter. Alternativement, vous pouvez utiliser 'logging low' puis insérer des règles explicites de refus / rejet pour refuser discrètement les correspondances qui seraient autrement enregistrées.

Anuser
la source
1

Vous pouvez également utiliser grep pour filtrer les messages UFW. Par exemple,

dmesg | grep -v UFW

De cette façon, vous pouvez également conserver la journalisation pour examen.

carmichel
la source
Cela n'est guère utile car sur tout serveur réel face à Internet, il n'y a rien d'autre dans les journaux que les messages UFW.
Antti Haapala
1

La réponse ci-dessus est le seul moyen:

    dmesg | grep -v UFW

Mais vous pouvez l'utiliser plus facilement, en définissant un alias comme celui-ci:

    alias dmesg='dmesg | grep -v UFW'

Cela s'exécutera dmesg | grep -v UFWsi vous entrez dmesg.

Si vous souhaitez conserver la version colorée de dmesg, vous pouvez utiliser la commande suivante:

    alias dmesg='dmesg --color=always | grep -v UFW --color=always'

De cette façon, dmesgutilisez également des couleurs sur le tuyau.

AVERTISSEMENT! Utilisez uniquement cette méthode lors de la visualisation des journaux et de la recherche de quelque chose, car cela pourrait casser certains scripts tiers dans cette session.

Matthew Friday
la source