Rediriger les journaux UFW vers son propre fichier?

20

Existe-t-il un moyen de rediriger facilement les entrées pour UFW vers leur propre fichier journal dans / var / log / ufw au lieu de remplir / var / log / syslog car il devient difficile de trouver des solutions aux problèmes avec tous ces trucs UFW qui passent devant moi?

14.04 log ufw Markrich
la source

Réponses:

19

Dans Ubuntu 15.10 et Debian Jessie, il existe un fichier /etc/rsyslog.d/20-ufw.conf. Il contient en bas # & ~. Supprimez le # devant pour le décommenter et actualisez rsyslog avec la commande /etc/init.d/rsyslog restartafin qu'il prenne en compte le changement de configuration.

chmike
la source
3
fonctionne aussi pour 14.04, et est plus simple, juste utilisé sudo service rsyslog restartaprès l'avoir changé, merci!
Aquarius Power
C'est aussi ce qui a fonctionné pour moi (14.04). C'est simple c'est bien.
pwbred
1
En 18.04, la dernière ligne est # & stopmais fait de même lorsqu'elle n'est pas commentée, rsyslog doit être redémarré.
Sebastian
13

J'utilise également Ubuntu 14.04. Dans mon /etc/rsyslog.d/il y a un fichier 20-ufw.confqui a la ligne suivante:

:msg,contains,"[UFW " /var/log/ufw.log

Ce que j'ai fait, c'est supprimer ce fichier, et en haut de la page, 50-default.confj'ai ajouté ce qui suit:

: msg, contient, "[UFW" /var/log/ufw.log
& stop

Redémarrez rsyslog avec sudo service rsyslog restartet vos journaux UFW doivent être placés dans leur propre fichier et non dans un autre.

Ackis
la source
11
pourquoi ne pas simplement éditer 20-ufw.confet ajouter la commande d'arrêt là-bas? En fait, il possède déjà un modèle qui peut être décommenté, et il semble fonctionner correctement dans mon test rapide.
HRJ
@HRJ Préférence personnelle? Le fichier 20-ufw.conf ne contient que quelques lignes de texte, dont la plupart sont des commentaires. Je sentais que ce n'était pas nécessaire pour son propre fichier de configuration. Votre suggestion accomplit vraiment la même chose - c'est celle :msg,contains,"[UFW " /var/log/ufw.logqui doit être modifiée / arrêtée.
Ackis
6

ufw utilise rsyslog pour se connecter à /var/log/syslogou /var/log/messages:

Pour modifier le fichier journal, éditez /etc/rsyslog.d/50-default.confet en haut ajoutez:

:msg, contains, "UFW" -/var/log/ufw.log
& ~

Cela enregistrera toutes les données contenant "UFW" pour /var/log/ufw.logempêcher tout traitement ultérieur de ces données.

jobin
la source
Alors que ufw.log contient désormais des entrées avec vos commandes, syslog reçoit toujours des messages.
markrich
Oui, mais syslog signale des problèmes avec vos commandes.
markrich
erreur lors de l'analyse du fichier /etc/rsyslog.d/50-default.conf, sur ou avant la ligne 1: caractère invalide '~' - y a-t-il une séquence d'échappement invalide quelque part? [essayez rsyslog.com/e/2207 ] 21 avril 15:58:41 markys-home-pc rsyslogd-2307: avertissement: ~ l'action est déconseillée, envisagez plutôt d'utiliser l'instruction 'stop' [essayez rsyslog.com/e/2307 ]
markrich
J'ai copié et collé. Même erreur.
markrich
Le journal a cessé d'accepter les commandes UFW en masse, mais un ou deux se faufilent toujours. C'est mieux maintenant, mais l'erreur d'amortissement existe toujours.
markrich
5

Le 16.04, il suffit de commenter la dernière ligne de ce fichier pour qu'elle affiche

$ tail -1 /etc/rsyslog.d/20-ufw.conf 
& stop

et redémarrez rsyslog

$ sudo systemctl restart rsyslog

à partir de maintenant, les journaux ufw seront dans /var/log/ufw.log et plus dans / var / log / syslog

Antonello Piemonte
la source