Брандмауэр UFW поставляется предустановленным в Ubuntu, и, как следует из названия, логи UFW будут содержать информацию изнутри о том, как ваш брандмауэр обрабатывает входящие и исходящие запросы.
Но перед этим вам нужно проверить, включена ли функция ведения логов UFW:
Если вы получите сообщение Logging: on (low), вы готовы к работе, но если оно показывает Logging: off, используйте следующую команду для включения регистрации UFW:
Как только вы включили журналирование UFW, вы можете использовать команду less для проверки логов брандмауэра UFW в вашей системе:
Так много сложных терминов, верно?
Вам не стоит о них беспокоиться, сейчас мы разберем все термины, используемые в логах UFW.
Но перед этим позвольте мне поделиться различными способами проверки логов UFW.
- Как проверить логов брандмауэра UFW на Linux
- Проверка журналов брандмауэра с помощью команды tail
- Проверка журналов брандмауэра с помощью команды grep
- Как изменить уровень ведения логов UFW
- Различные уровни ведения логов UFW
- Как добавить правило логирования UFW
- Интерпретация логов брандмауэра UFW
- Заключение
Как проверить логов брандмауэра UFW на Linux
Существуют различные способы проверки журналов брандмауэра UFW; я уже рассказывал об одном из них в начале этого руководства.
Поэтому давайте рассмотрим остальные.
Проверка журналов брандмауэра с помощью команды tail
Если вы ищете способ, с помощью которого вы можете контролировать журналы брандмауэра в реальном времени, вы можете использовать команду tail.
По умолчанию команда tail показывает последние 10 строк файла, но при использовании опции -f вы можете отслеживать журналы брандмауэра в реальном времени:
Проверка журналов брандмауэра с помощью команды grep
Кроме /var/log/ufw, есть еще два места, где вы найдете логи брандмауэра UFW.
Но эти места предназначены не только для журналов брандмауэра.
То есть, вы найдете там и журналы других служб.
И в этих случаях вы можете использовать команду grep, чтобы отфильтровать результаты.
Таким образом, вы можете отфильтровать журналы брандмауэра UFW из syslog:
Или вы можете отфильтровать результаты из kern.log:
Теперь давайте рассмотрим различные уровни логирования брандмауэра UFW.
Как изменить уровень ведения логов UFW
По умолчанию протоколирование будет вестись на уровне low.
Но прежде чем я перейду к тому, как вы можете изменить правило по умолчанию, позвольте мне объяснить различные уровни логирования, которые нам доступны.
Различные уровни ведения логов UFW
Существует 5 уровней ведения журнала UFW.
- off: Означает, что ведение журнала отключено.
- low: Сохраняет логи, связанные с заблокированными пакетами, которые не соответствуют текущим правилам брандмауэра, и показывает записи, связанные с записанными правилами.
Да, вы можете указать и правила ведения журнала, и мы покажем вам, как это сделать в следующей части данного руководства. - medium: В дополнение ко всем журналам, предлагаемым низким уровнем, есть логи недействительных пакетов, новых соединений
- high: Включает журналы пакетов с ограничением скорости и без ограничения скорости.
- full: Этот уровень аналогичен уровню high, но не включает ограничение скорости.
Теперь, если вы хотите изменить стандартный или текущий уровень протоколирования, вам нужно просто следовать приведенной структуре команд:
Поэтому если я хочу изменить текущий уровень на medium, это можно сделать с помощью данной команды:
Как добавить правило логирования UFW
Как я уже упоминал ранее, вы можете добавить правило ведения логов, особенно если вы хотите отслеживать определенные службы.
Я бы рекомендовал вам установить уровень low, чтобы меньше загромождать журналы, и вы могли быть более конкретными в отношении намеренного мониторинга.
Чтобы добавить правило ведения журнала, вам просто нужно следовать синтаксису команды:
Например, мы можем добавить правило ведения логов порта № 22 (SSH):
Интерпретация логов брандмауэра UFW
Возьмем основные параметры лога:
- Dec 2 05:48:09 LHB kernel: [ 180.759805]: Показывает дату, время, имя хоста и время ядра с момента загрузки.
- [UFW BLOCK]: Если вы используете логи UFW в настройках по умолчанию, уровень логирования будет на уровне low. Это означает, что будут показаны только отклоненные пакеты, которые не соответствуют правилам UFW.
А UFW BLOCK просто указывает на то, что пакет был заблокирован.
- [UFW ALLOW]: Несмотря на уровень по умолчанию, если вы добавили правило, оно будет регистрировать каждую деталь, связанную с этой службой, а UFW ALLOW указывает на то, что пакет был разрешен.
- IN=ens33: Показывает интерфейс, с которого пришел пакет.
- OUT=: Для большинства пользователей этот параметр не будет иметь никакого значения, а если он показывает какое-либо значение, значит, произошло исходящее событие.
- MAC=00:0c:29:71:06:82:8c:b8:7e:b7:f7:46:08:00: Вся строка цифр и букв – это не что иное, как комбинация MAC-адресов источника и назначения.
- SRC=192.168.1.7: Указывает IP-адрес источника пакета.
- DST=192.168.1.5: Указывает IP-адрес назначения пакета, это будет IP-адрес вашей системы.
- LEN=60: Показывает длину пакета (в моем случае 60 байт).
- TOS=0x10: Показывает тип сервиса.
- PREC=0x00: Показывает тип сервиса “Precedence”.
- TTL=64: Показывает TTL (Time To Live) для пакета. Проще говоря, он показывает, как долго пакет будет “отскакивать”, пока не истечет срок его действия, если не указан пункт назначения.
- ID=4444: Дает уникальный идентификатор IP-датаграммы, который будет общим для фрагментов одного и того же пакета.
- DF: Флаг TCP “Не фрагментировать”.
- PROTO=TCP: Показывает протокол, используемый для передачи пакета.
- SPT=55656: порт источника пакета.
- DPT=22: Указывает порт назначения пакета.
- WINDOW=64240: Показывает размер окна TCP.
- RES=0x00: Указывает зарезервированные биты.
- SYN URGP=0: Здесь флаг SYN означает запрос на установление нового соединения, а URGP=0 означает, что соединение не было установлено.
- ACK: Флаг подтверждения используется для указания того, что пакет успешно получен хостом.
- PSH: Флаг Push указывает на то, что входящие данные должны быть переданы приложению вместо буферизации.
Заключение
В этом руководстве мы рассмотрели некоторые основные аспекты логов брандмауэра UFW, включая то, как вы можете включить их, изменить уровни и содержимое журналов.
см. также:
- 🛡️ Как добавить комментарии к правилу брандмауэра UFW?
- 🐳 Как использовать Docker с UFW параллельно
- 🛡️ Как составить список правил брандмауэра UFW
- 🖧 Как ограничить ssh с помощью UFW
- 🖧 Как ограничить ssh с помощью UFW