Перенаправити журнали UFW на власний файл?

20

Чи є спосіб я легко переспрямовувати записи для UFW до власного файлу журналу за адресою / var / log / ufw замість заповнення / var / log / syslog, оскільки стає складним пошук рішень для проблем із усіма цими матеріалами UFW, що проходять повз я?

14.04 log ufw

— марріх
джерело

19

У Ubuntu 15.10 та Debian Jessie є файл /etc/rsyslog.d/20-ufw.conf. Він міститься внизу # & ~. Вийміть # перед ним, щоб його відмітили, і оновіть rsyslog командою, /etc/init.d/rsyslog restartщоб він врахував зміну конфігурації.

— chmike
джерело

3

працює також для 14.04, і простіше, просто використовується sudo service rsyslog restartпісля зміни його, thx!

— Сила Водолія

Це те, що працювало і для мене (14.04). Просто - це добре.

— pwbred

1

В 18.04 останній рядок є, # & stopале робить те саме, коли його не коментують, rsyslog справді потрібно перезапустити.

— Себастьян

13

Я також запускаю Ubuntu 14.04. У моєму /etc/rsyslog.d/файлі 20-ufw.confє такий рядок:

:msg,contains,"[UFW " /var/log/ufw.log

Що я зробив, це видалити цей файл, і вгорі 50-default.confя додав наступне:

: msg, містить, "[UFW" /var/log/ufw.log
& стоп

Перезапустіть rsyslog, sudo service rsyslog restartі ваші журнали UFW слід вводити у власний файл, а не в будь-який інший.

— Акіс
джерело

11

чому б просто не відредагувати 20-ufw.confта додати туди команду stop? Насправді у нього вже є шаблон, який можна коментувати, і він, здається, спрацює добре в моєму швидкому тесті.

— HRJ

@HRJ Особисті переваги? Файл 20-ufw.conf містить лише кілька рядків тексту, більшість з яких - коментарі. Я вважав, що це не потрібно для власного конфігураційного файлу. Ваша пропозиція робить те саме, що насправді - це те, :msg,contains,"[UFW " /var/log/ufw.logщо потрібно змінити / зупинити.

— Ackis

6

ufw використовує rsyslog для входу /var/log/syslogабо /var/log/messages:

Щоб змінити файл журналу, відредагуйте /etc/rsyslog.d/50-default.confта вгорі додайте:

:msg, contains, "UFW" -/var/log/ufw.log
& ~

Це записує всі дані, що містять "UFW", щоб /var/log/ufw.logзапобігти подальшій обробці таких даних.

— джобін
джерело

Хоча ufw.log тепер містить записи з вашими командами, syslog все ще отримує повідомлення.

— Марріх

Так, але syslog повідомляє про проблеми з вашими командами.

— Марріх

помилка під час розбору файлу /etc/rsyslog.d/50-default.conf, у рядку 1 або перед ним: недійсний символ '~' - чи є десь недійсна послідовність запуску? [спробуйте rsyslog.com/e/2207 ] 21 квіт. 15:58:41 markys-home-pc rsyslogd-2307: попередження: ~ дія застаріла, замість цього скористайтесь оператором "стоп" [спробуйте rsyslog.com/e/2307 ]

— Марріх

Я робив копію та вставляв. Така ж помилка.

— Марріх

Журнал перестав приймати команди UFW на масовій основі, проте один-два все ще пробираються. Зараз краще, проте помилка амортизації все ще існує.

— Марріх

5

16.04 просто прокоментуйте останній рядок у цьому файлі, щоб він прочитав

$ tail -1 /etc/rsyslog.d/20-ufw.conf 
& stop

і перезапустити rsyslog

$ sudo systemctl restart rsyslog

відтепер журнали ufw будуть знаходитись у /var/log/ufw.log та більше не в / var / log / syslog

— Антонелло П'ємонте
джерело