Есть ли способ, чтобы вывести UFW из dmesg?

В файле /etc/rsyslog.d/20-ufw.conf есть комментарии, которые дают вам возможность не допускать, чтобы записи UFW регистрировались в ядре и в журналах сообщений, которые я сделал.

Мне бы очень хотелось получить UFW-события из dmesg , но как это сделать?

Вы можете отключить ведение журнала UFW со следующей командой из оболочки:

 sudo ufw logging off 

Низкий уровень log по умолчанию. Из справочной страницы UFW :

  • off отключает udw управляемое ведение журнала
  • low logs все заблокированные пакеты, не соответствующие политике по умолчанию (с ограничением скорости), а также пакеты, соответствующие зарегистрированным правилам
  • средний уровень низкого уровня журнала, плюс все разрешенные пакеты, не соответствующие политике по умолчанию, всем пакетам INVALID и всем новым соединениям. Все записи выполняются с ограничением скорости.
  • (без ограничения скорости), плюс все пакеты с ограничением скорости
  • высокий уровень журнала без ограничения скорости

Вы можете получить текущий уровень журнала с sudo ufw status verbose .

Я провел некоторое расследование по этому вопросу.

Я не верю, что есть способ обойти это.

Команда dmesg напрямую печатает содержимое буфера кольцевого буфера. Это содержит все записи журнала ufw, которые вы видите.

Файл /etc/rsyslog.d/20-ufw.conf сообщает rsyslog, какая из записей ufw в кольцевом буфере ядра для входа в /var/log/ufw.log или /var/log/kern.log .

Вы можете запретить запись записей ufw в /var/log/kern.log (чтобы удалить дублирование), раскомментируя строку в /etc/rsyslog.d/20-ufw.conf которая содержит & ~ .

К сожалению, нет способа предотвратить отображение командой dmesg этих сообщений. Твоя работа – лучшее, что я могу придумать.

Для людей, которые хотят более точно настроить уровень журнала, я предлагаю использовать правила «log» или reject / deny (подробности см. На ufw man ufw ). Например, вы можете использовать «logging off», а затем вставить явные правила ведения журнала для того, что вы хотите зарегистрировать. Кроме того, вы можете использовать «logging low», а затем вставлять явные правила deny / reject, чтобы спокойно отклонять совпадения, которые в противном случае регистрировались бы.