UFW-Protokolle in eigene Datei umleiten?

20

Gibt es eine Möglichkeit, die Einträge für UFW einfach in die eigene Protokolldatei unter / var / log / ufw umzuleiten, anstatt / var / log / syslog auszufüllen, da es immer schwieriger wird, Lösungen für Probleme mit all dem vorbeifliegenden UFW-Zeug zu finden ? mich?

14.04 log ufw markrich
quelle

Antworten:

19

In Ubuntu 15.10 und Debian Jessie gibt es eine Datei /etc/rsyslog.d/20-ufw.conf. Es enthält am unteren Rand # & ~. Entfernen Sie das # davor, um das Kommentarzeichen zu entfernen, und aktualisieren Sie rsyslog mit dem Befehl /etc/init.d/rsyslog restart, damit die Konfigurationsänderung berücksichtigt wird.

chmike
quelle
3
funktioniert auch für 14.04 und ist einfacher, nur sudo service rsyslog restartnach dem Ändern verwendet, thx!
Aquarius Power
Das hat auch bei mir funktioniert (14.04). Einfach ist gut.
Pwbred
1
In 18.04 ist die letzte Zeile # & stopaber macht das selbe, wenn sie nicht kommentiert ist, rsyslog muss in der Tat neu gestartet werden.
Sebastian
13

Ich verwende auch Ubuntu 14.04. In meiner /etc/rsyslog.d/gibt es eine Datei 20-ufw.conf, die folgende Zeile hat:

:msg,contains,"[UFW " /var/log/ufw.log

Ich habe diese Datei gelöscht und oben 50-default.confFolgendes hinzugefügt:

: msg, enthält "[UFW" /var/log/ufw.log
& stop

Starten sudo service rsyslog restartSie rsyslog mit neu und Ihre UFW-Protokolle sollten in einer eigenen Datei und nicht in einer anderen abgelegt werden.

Ackis
quelle
11
Warum nicht einfach dort 20-ufw.confden Befehl stop editieren und hinzufügen? In der Tat hat es bereits eine Vorlage, die unkommentiert sein kann, und es scheint in meinem Schnelltest gut zu funktionieren.
HRJ
@HRJ Persönliche Präferenz? Die 20-ufw.conf-Datei enthält nur wenige Textzeilen, von denen die meisten Kommentare sind. Ich hatte das Gefühl, dass es für eine eigene Konfigurationsdatei nicht notwendig war. Ihr Vorschlag erreicht dasselbe tatsächlich - es ist das :msg,contains,"[UFW " /var/log/ufw.log, was geändert / gestoppt werden muss.
Ackis
6

ufw verwendet rsyslog für die Anmeldung bei /var/log/syslogoder /var/log/messages:

Um die Protokolldatei zu ändern, bearbeiten Sie /etc/rsyslog.d/50-default.confund fügen Sie Folgendes hinzu:

:msg, contains, "UFW" -/var/log/ufw.log
& ~

Dies protokolliert alle Daten, die "UFW" enthalten, /var/log/ufw.logum eine weitere Verarbeitung dieser Daten zu verhindern.

Job in
quelle
Während ufw.log jetzt Einträge mit Ihren Befehlen enthält, empfängt syslog weiterhin Nachrichten.
Markrich
Ja, aber Syslog meldet Probleme mit Ihren Befehlen.
Markrich
Fehler beim Parsen der Datei /etc/rsyslog.d/50-default.conf in oder vor Zeile 1: ungültiges Zeichen '~' - Gibt es irgendwo eine ungültige Escape-Sequenz? [try rsyslog.com/e/2207 ] Apr 21 15:58:41 markys-home-pc rsyslogd-2307: Warnung: ~ Aktion ist veraltet. Verwenden Sie stattdessen die Anweisung 'stop'. [try rsyslog.com/e/2307 ]
Markrich
Ich habe kopiert und eingefügt. Gleicher Fehler.
Markrich
Das Protokoll akzeptiert keine Massenbefehle von UFW mehr, es werden jedoch noch ein oder zwei durchgeschlichen. Es ist jetzt besser, aber der Abschreibungsfehler besteht immer noch.
Markrich
5

Am 16.04 einfach die letzte Zeile in dieser Datei auskommentieren, damit sie liest

$ tail -1 /etc/rsyslog.d/20-ufw.conf 
& stop

und starten Sie rsyslog neu

$ sudo systemctl restart rsyslog

ufw-Protokolle befinden sich ab sofort in /var/log/ufw.log und nicht mehr in / var / log / syslog

Antonello Piemonte
quelle