Как я могу проверить свой журнал UFW?

Ответить в комментарии

ufw firewall для linux

UFW — это надстройка над iptables, которая делает настройку фаервола простой и понятной. В этой небольшой заметке объясняется, как включить ведение журнала UFW (программа для управления брандмауэром) и как читать журналы.  Брандмауэр критически важен для обеспечения безопасности ваших систем Linux и Ubuntu. UFW превращает сложную настройку сетевой безопасности в простой и доступный для понимания процесс.

Прочитав эту статью, вы узнаете, как находить и читать журналы UFW.

Для начала вы можете включить UFW с опцией подробного состояния, чтобы проверить, включено или отключено ведение журнала. Выполните команду ниже:

sudo ufw status verbose

Как видите, ведение журнала отключено ( выключено ). Чтобы включить ведение журнала в UFW, выполните следующую команду:

sudo ufw logging on

 

Как видите, ведение журнала включено.

Если вы хотите перепроверить это, запустите подробный статус ufw еще раз, как показано ниже:

sudo ufw status verbose

 

Как видите, ведение журнала включено, и в скобках можно прочитать (низкий). Это связано с тем, что существует пять различных уровней ведения журнала:

  • Off.: управляемое ведение журнала отсутствует.
  • On. (Низкий): регистрируются все заблокированные или разрешенные пакеты определенной политикой.
  • On. (Средний): то же, что и выше, но кроме того, включает пакеты, не соответствующие политикам.
  • On. (Высокий): регистрируются все ограничения скорости и без ограничения скорости.
  • On. (Полный): регистрирует все пакеты без ограничения скорости.

 

Например, если вы хотите изменить уровень ведения журнала на средний, вы можете выполнить команду ниже.

sudo ufw logging medium

 

Примечание
Примечание. В приведенной выше команде замените medium другим значением для другого уровня ведения журнала.

 

Обычно журналы хранятся в каталоге /var/log/, и UFW не исключение. Чтобы просмотреть доступные журналы UFW, вы можете использовать команду ls и a для реализации подстановочного знака, как показано в следующем примере.

sudo ls /var/log/ufw*;

Как видите, существует несколько журналов UFW. Посмотрим, как их читать и интерпретировать.

Примечание: для работы журнала UFW необходимо включить rsyslog. Вы можете проверить это, выполнив команду ниже:

service rsyslog status

 

Чтобы просто прочитать все журналы без параметров, вы можете запустить:

sudo less /var/log/ufw*

 

Как видите, полей много, и в следующем списке указано значение каждого поля.

  • IN = В этом поле отображается устройство для входящего трафика.
  • OUT = В этом поле отображается устройство для исходящего трафика.
  • MAC = В этом поле отображается MAC-адрес устройства.
  • SRC = В этом поле отображается IP-адрес источника подключения.
  • DST = отображает IP-адрес назначения соединения.
  • LEN = В этом поле отображается длина пакета.
  • TOS = (Тип службы). Это поле используется для классификации пакетов и не рекомендуется.
  • PREC = В этом поле отображается приоритетный тип службы.
  • TTL = В этом поле отображается время жизни.
  • ID = В этом поле отображается уникальный идентификатор IP-дейтаграммы, который совместно используется фрагментами одного и того же пакета.
  • PROTO = В этом поле отображается используемый протокол.

 

Чтобы прочитать последние записи журнала, выполните следующую команду:

sudo tail -f /var/log/ufw.log

 

Новые поля SPT и DPT, которые ранее не объяснялись, показывают порты источника и назначения.

Другая команда для чтения журналов UFW с помощью grep:

grep -i ufw /var/log/syslog

 

Или следующую команду:

grep -i ufw /var/log/messages

 

Вы также можете запустить:

grep -i ufw /var/log/kern.log

 

Вывод:

UFW — это самый простой интерфейс брандмауэра CLI для Iptables на рынке. Его использование даже быстрее и проще, чем использование любого другого брандмауэра, включая программное обеспечение с графическим интерфейсом. Некоторые пользователи игнорируют функцию ведения журнала, и ее необходимо включить и правильно настроить, чтобы получать правильные журналы из UFW. Также важно помнить, что для работы этой функции необходимо включить rsyslog.

Как видите, UFW позволяет нам управлять уровнем детализации и предоставляет очень подробный отчет о подключениях. UFW — отличный инструмент для неопытных пользователей, позволяющий контролировать свой сетевой трафик и защищать свою систему, реализуя правила или действия с простым синтаксисом. Обучение использованию этого интерфейса Iptables — отличный способ для новых пользователей познакомиться с миром брандмауэров перед тем, как пройти через Iptables и Netfilter. UFW имеет простой графический интерфейс (GUFW) для применения правил и действий и управления вашим брандмауэром, несмотря на то, что версию CLI еще проще использовать для любого уровня пользователя Linux.

Мы надеемся, что мы просто объяснили, как проверять логи UFW.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *