Redirecionar logs do UFW para o próprio arquivo?

20

Existe uma maneira de redirecionar facilmente as entradas do UFW para seu próprio arquivo de log em / var / log / ufw, em vez de preencher / var / log / syslog , pois está ficando difícil encontrar soluções para problemas com todo esse material do UFW mim?

14.04 log ufw Markrich
fonte

Respostas:

19

No Ubuntu 15.10 e no Debian Jessie, há um arquivo /etc/rsyslog.d/20-ufw.conf. Ele contém na parte inferior # & ~. Remova o # na frente dele para descomentá-lo e atualize o rsyslog com o comando /etc/init.d/rsyslog restartpara que ele leve em consideração a alteração na configuração.

chmike
fonte
3
também funciona para o 14.04, e é mais simples, apenas usado sudo service rsyslog restartapós a alteração, thx!
Aquário Potência
Foi o que funcionou para mim também (14.04). Simples é bom.
pwbred
1
Na 18.04, a última linha é, # & stopmas faz o mesmo quando não é comentada, o rsyslog precisa ser reiniciado.
Sebastian
13

Também estou executando o Ubuntu 14.04. No meu /etc/rsyslog.d/há um arquivo 20-ufw.confque tem a seguinte linha:

:msg,contains,"[UFW " /var/log/ufw.log

O que fiz foi excluir esse arquivo e, na parte superior 50-default.conf, adicionei o seguinte:

: msg, contém, "[UFW" /var/log/ufw.log
e interrompe

Reinicie o rsyslog com sudo service rsyslog restarte seus logs UFW devem ser colocados em seu próprio arquivo e não em nenhum outro.

Ackis
fonte
11
por que não apenas editar 20-ufw.confe adicionar o comando stop aí? De fato, ele já possui um modelo que pode ser descomentado e parece funcionar bem no meu teste rápido.
HRJ 4/14
@HRJ Preferência pessoal? O arquivo 20-ufw.conf possui apenas algumas linhas de texto, a maioria das quais são comentários. Eu senti que não era necessário para o seu próprio arquivo de configuração. Sua sugestão realmente realiza a mesma coisa - é isso :msg,contains,"[UFW " /var/log/ufw.logque precisa ser modificado / interrompido.
Ackis
6

O ufw usa o rsyslog para fazer logon /var/log/syslogou /var/log/messages:

Para alterar o arquivo de log, edite /etc/rsyslog.d/50-default.confe, na parte superior, adicione:

:msg, contains, "UFW" -/var/log/ufw.log
& ~

Isso registrará todos os dados que contêm "UFW" para /var/log/ufw.logimpedir o processamento posterior desses dados.

jobin
fonte
Enquanto o ufw.log agora contém entradas com seus comandos, o syslog ainda recebe mensagens.
markrich
Sim, mas o syslog relata problemas com seus comandos.
markrich
erro durante a análise do arquivo /etc/rsyslog.d/50-default.conf, na linha 1 ou antes: caractere inválido '~' - há uma sequência de escape inválida em algum lugar? [tente rsyslog.com/e/2207 ] 21 de abril 15:58:41 markys-home-pc rsyslogd-2307: aviso: ~ a ação foi descontinuada, considere usar a instrução 'stop' em vez disso [tente rsyslog.com/e/2307 ]
markrich 21/04
Copiei e colei. Mesmo erro.
markrich
O log parou de aceitar comandos UFW em massa, no entanto, um ou dois ainda estão passando furtivamente. Agora é melhor, no entanto, o erro de depreciação ainda existe.
markrich
5

No 16.04, apenas comente a última linha deste arquivo para que ele leia

$ tail -1 /etc/rsyslog.d/20-ufw.conf 
& stop

e reinicie o rsyslog

$ sudo systemctl restart rsyslog

a partir de agora, os logs do ufw estarão em /var/log/ufw.log e não mais em / var / log / syslog

Antonello Piemonte
fonte