Chuyển hướng nhật ký UFW sang tập tin riêng?

20

Có cách nào để tôi có thể dễ dàng chuyển hướng các mục nhập cho UFW sang tệp nhật ký của riêng họ tại / var / log / ufw thay vì điền / var / log / syslog khi việc tìm giải pháp cho các vấn đề với tất cả các công cụ UFW này bay qua tôi?

14.04 log ufw

— markrich
nguồn

19

Trong Ubuntu 15.10 và Debian Jessie có một tệp /etc/rsyslog.d/20-ufw.conf. Nó chứa ở phía dưới # & ~. Xóa # ở phía trước của nó để bỏ ghi chú và làm mới rsyslog bằng lệnh /etc/init.d/rsyslog restartđể nó tính đến sự thay đổi cấu hình.

— chmike
nguồn

3

hoạt động cho 14.04 cũng vậy, và đơn giản hơn, chỉ được sử dụng sudo service rsyslog restartsau khi thay đổi nó, thx!

— Sức mạnh Bảo Bình

Đây là những gì làm việc cho tôi quá (14.04). Đơn giản là tốt.

— pwbred

1

Trong 18.04, dòng cuối cùng # & stopnhưng thực hiện tương tự khi không bị lỗi, rsyslog cần phải được khởi động lại thực sự.

— Sebastian

13

Tôi cũng đang chạy Ubuntu 14.04. Trong tôi /etc/rsyslog.d/có một tập tin 20-ufw.confcó dòng sau:

:msg,contains,"[UFW " /var/log/ufw.log

Những gì tôi đã làm là xóa tệp đó và ở đầu 50-default.conftôi đã thêm vào như sau:

: tin nhắn, chứa, "[UFW" /var/log/ufw.log
& stop

Khởi động lại rsyslog với sudo service rsyslog restartvà nhật ký UFW của bạn nên được đưa vào tệp riêng của chúng và không vào bất kỳ tệp nào khác.

— Ackis
nguồn

11

Tại sao không chỉ chỉnh sửa 20-ufw.confvà thêm lệnh dừng ở đó? Trong thực tế, nó đã có một mẫu có thể không bị lỗi, và nó dường như hoạt động tốt trong thử nghiệm nhanh của tôi.

— HRJ

@HRJ Sở thích cá nhân? Tệp 20-ufw.conf chỉ có một vài dòng văn bản, hầu hết là các bình luận. Tôi cảm thấy nó không cần thiết cho tập tin cấu hình riêng của nó. Đề xuất của bạn thực hiện cùng một điều thực sự - đó là :msg,contains,"[UFW " /var/log/ufw.logđiều cần được sửa đổi / dừng lại.

— Ackis

6

ufw sử dụng rsyslog để đăng nhập /var/log/sysloghoặc /var/log/messages:

Để thay đổi tệp nhật ký, chỉnh sửa /etc/rsyslog.d/50-default.confvà thêm vào đầu:

:msg, contains, "UFW" -/var/log/ufw.log
& ~

Điều này sẽ ghi lại tất cả dữ liệu có chứa "UFW" để /var/log/ufw.logngăn chặn việc xử lý thêm dữ liệu đó.

— công việc
nguồn

Mặc dù ufw.log hiện chứa các mục với các lệnh của bạn, syslog vẫn nhận được tin nhắn.

— markrich

Có nhưng syslog báo cáo vấn đề với các lệnh của bạn.

— markrich

lỗi trong khi phân tích tệp /etc/rsyslog.d/50-default.conf, trên hoặc trước dòng 1: ký tự không hợp lệ '~' - có một chuỗi thoát không hợp lệ ở đâu đó không? [thử rsyslog.com/e/2207 ] Tháng Tư 21 15:58:41 markys-nhà-pc rsyslogd-2307: cảnh báo: ~ hành động bị phản đối, hãy xem xét sử dụng câu lệnh 'stop' thay vì [thử rsyslog.com/e/2307 ]

— markrich

Tôi đã sao chép và dán. Cùng một lỗi.

— markrich

Nhật ký đã ngừng chấp nhận các lệnh UFW trên khối lượng, tuy nhiên một hoặc hai vẫn lén lút qua. Bây giờ tốt hơn là lỗi khấu hao vẫn còn tồn tại.

— markrich

5

Ngày 16.04 chỉ cần bình luận dòng cuối cùng trong tệp này để nó đọc

$ tail -1 /etc/rsyslog.d/20-ufw.conf 
& stop

và khởi động lại rsyslog

$ sudo systemctl restart rsyslog

từ giờ trở đi, nhật ký ufw sẽ ở /var/log/ufw.log và không còn trong / var / log / syslog

— Antonello Piemonte
nguồn