🛡️ Все, что нужно знать о логах UFW |
Главная » Мануал

🛡️ Все, что нужно знать о логах UFW

Мануал
На чтение 6 мин Опубликовано

Брандмауэр UFW поставляется предустановленным в Ubuntu, и, как следует из названия, логи UFW будут содержать информацию изнутри о том, как ваш брандмауэр обрабатывает входящие и исходящие запросы.

Но перед этим вам нужно проверить, включена ли функция ведения логов UFW:



sudo ufw status verbose

Если вы получите сообщение Logging: on (low), вы готовы к работе, но если оно показывает Logging: off, используйте следующую команду для включения регистрации UFW:



sudo ufw logging on

Как только вы включили журналирование UFW, вы можете использовать команду less для проверки логов брандмауэра UFW в вашей системе:



sudo less /var/log/ufw.log

Так много сложных терминов, верно?

Вам не стоит о них беспокоиться, сейчас мы разберем все термины, используемые в логах UFW.

Но перед этим позвольте мне поделиться различными способами проверки логов UFW.

Содержание
  1. Как проверить логов брандмауэра UFW на Linux
  2. Проверка журналов брандмауэра с помощью команды tail
  3. Проверка журналов брандмауэра с помощью команды grep
  4. Как изменить уровень ведения логов UFW
  5. Различные уровни ведения логов UFW
  6. Как добавить правило логирования UFW
  7. Интерпретация логов брандмауэра UFW
  8. Заключение

Как проверить логов брандмауэра UFW на Linux

Существуют различные способы проверки журналов брандмауэра UFW; я уже рассказывал об одном из них в начале этого руководства.

Поэтому давайте рассмотрим остальные.

Проверка журналов брандмауэра с помощью команды tail

Если вы ищете способ, с помощью которого вы можете контролировать журналы брандмауэра в реальном времени, вы можете использовать команду tail.

По умолчанию команда tail показывает последние 10 строк файла, но при использовании опции -f вы можете отслеживать журналы брандмауэра в реальном времени:





tail -f /var/log/ufw.log

Проверка журналов брандмауэра с помощью команды grep

Кроме /var/log/ufw, есть еще два места, где вы найдете логи брандмауэра UFW.

Но эти места предназначены не только для журналов брандмауэра.

То есть, вы найдете там и журналы других служб.

И в этих случаях вы можете использовать команду grep, чтобы отфильтровать результаты.

Таким образом, вы можете отфильтровать журналы брандмауэра UFW из syslog:



grep -i ufw /var/log/syslog

Или вы можете отфильтровать результаты из kern.log:



grep -i ufw /var/log/kern.log

Теперь давайте рассмотрим различные уровни логирования брандмауэра UFW.

Как изменить уровень ведения логов UFW

По умолчанию протоколирование будет вестись на уровне low.

Но прежде чем я перейду к тому, как вы можете изменить правило по умолчанию, позвольте мне объяснить различные уровни логирования, которые нам доступны.

Различные уровни ведения логов UFW

Существует 5 уровней ведения журнала UFW.

  • off: Означает, что ведение журнала отключено.
  • low: Сохраняет логи, связанные с заблокированными пакетами, которые не соответствуют текущим правилам брандмауэра, и показывает записи, связанные с записанными правилами.
    Да, вы можете указать и правила ведения журнала, и мы покажем вам, как это сделать в следующей части данного руководства.
  • medium: В дополнение ко всем журналам, предлагаемым низким уровнем, есть логи  недействительных пакетов, новых соединений
  • high: Включает журналы пакетов с ограничением скорости и без ограничения скорости.
  • full: Этот уровень аналогичен уровню high, но не включает ограничение скорости.

Теперь, если вы хотите изменить стандартный или текущий уровень протоколирования, вам нужно просто следовать приведенной структуре команд:



sudo ufw logging logging_level

Поэтому если я хочу изменить текущий уровень на medium, это можно сделать с помощью данной команды:



sudo ufw logging medium

Как добавить правило логирования UFW

Как я уже упоминал ранее, вы можете добавить правило ведения логов, особенно если вы хотите отслеживать определенные службы.

Я бы рекомендовал вам установить уровень low, чтобы меньше загромождать журналы, и вы могли быть более конкретными в отношении намеренного мониторинга.

Чтобы добавить правило ведения журнала, вам просто нужно следовать синтаксису команды:



sudo ufw allow log service_name

Например, мы можем добавить правило ведения логов порта № 22 (SSH):



sudo ufw allow log 22/tcp

Интерпретация логов брандмауэра UFW

Возьмем основные параметры лога:

  • Dec 2 05:48:09 LHB kernel: [ 180.759805]: Показывает дату, время, имя хоста и время ядра с момента загрузки.
  • [UFW BLOCK]: Если вы используете логи UFW в настройках по умолчанию, уровень логирования будет на уровне low. Это означает, что будут показаны только отклоненные пакеты, которые не соответствуют правилам UFW.
    А UFW BLOCK просто указывает на то, что пакет был заблокирован.
  • [UFW ALLOW]: Несмотря на уровень по умолчанию, если вы добавили правило, оно будет регистрировать каждую деталь, связанную с этой службой, а UFW ALLOW указывает на то, что пакет был разрешен.
  • IN=ens33: Показывает интерфейс, с которого пришел пакет.
  • OUT=: Для большинства пользователей этот параметр не будет иметь никакого значения, а если он показывает какое-либо значение, значит, произошло исходящее событие.
  • MAC=00:0c:29:71:06:82:8c:b8:7e:b7:f7:46:08:00: Вся строка цифр и букв – это не что иное, как комбинация MAC-адресов источника и назначения.
  • SRC=192.168.1.7: Указывает IP-адрес источника пакета.
  • DST=192.168.1.5: Указывает IP-адрес назначения пакета, это будет IP-адрес вашей системы.
  • LEN=60: Показывает длину пакета (в моем случае 60 байт).
  • TOS=0x10: Показывает тип сервиса.
  • PREC=0x00: Показывает тип сервиса “Precedence”.
  • TTL=64: Показывает TTL (Time To Live) для пакета. Проще говоря, он показывает, как долго пакет будет “отскакивать”, пока не истечет срок его действия, если не указан пункт назначения.
  • ID=4444: Дает уникальный идентификатор IP-датаграммы, который будет общим для фрагментов одного и того же пакета.
  • DF: Флаг TCP “Не фрагментировать”.
  • PROTO=TCP: Показывает протокол, используемый для передачи пакета.
  • SPT=55656: порт источника пакета.
  • DPT=22: Указывает порт назначения пакета.
  • WINDOW=64240: Показывает размер окна TCP.
  • RES=0x00: Указывает зарезервированные биты.
  • SYN URGP=0: Здесь флаг SYN означает запрос на установление нового соединения, а URGP=0 означает, что соединение не было установлено.
  • ACK: Флаг подтверждения используется для указания того, что пакет успешно получен хостом.
  • PSH: Флаг Push указывает на то, что входящие данные должны быть переданы приложению вместо буферизации.

Заключение

В этом руководстве мы рассмотрели некоторые основные аспекты логов брандмауэра UFW, включая то, как вы можете включить их, изменить уровни и содержимое журналов.

см. также:

 

 

firewall linux logging UFW
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий