В этой статье объясняется, как включить ведение журнала UFW (несложный брандмауэр) и как читать журналы. Брандмауэр критически важен для обеспечения безопасности ваших систем Linux и Ubuntu.
Прочитав эту статью, вы узнаете, как находить и читать журналы UFW.
Для начала вы можете включить UFW с опцией подробного состояния, чтобы проверить, включено или отключено ведение журнала. Выполните команду ниже:
sudo ufw status verbose
Как видите, ведение журнала отключено ( выключено ). Чтобы включить ведение журнала в UFW, выполните следующую команду:
sudo ufw logging on
Как видите, ведение журнала включено.
Если вы хотите перепроверить это, запустите подробный статус ufw еще раз, как показано ниже:
sudo ufw status verbose
Как видите, ведение журнала включено, и в скобках можно прочитать (низкий). Это связано с тем, что существует пять различных уровней ведения журнала:
- Off.: управляемое ведение журнала отсутствует.
- On. (Низкий): регистрируются все заблокированные или разрешенные пакеты определенной политикой.
- On. (Средний): то же, что и выше, но кроме того, включает пакеты, не соответствующие политикам.
- On. (Высокий): регистрируются все ограничения скорости и без ограничения скорости.
- On. (Полный): регистрирует все пакеты без ограничения скорости.
Например, если вы хотите изменить уровень ведения журнала на средний, вы можете выполнить команду ниже.
sudo ufw logging medium
Обычно журналы хранятся в каталоге /var/log/, и UFW не исключение. Чтобы просмотреть доступные журналы UFW, вы можете использовать команду ls и a для реализации подстановочного знака, как показано в следующем примере.
sudo ls /var/log/ufw*;
Как видите, существует несколько журналов UFW. Посмотрим, как их читать и интерпретировать.
Примечание: для работы журнала UFW необходимо включить rsyslog. Вы можете проверить это, выполнив команду ниже:
service rsyslog status
Чтобы просто прочитать все журналы без параметров, вы можете запустить:
sudo less /var/log/ufw*
Как видите, полей много, и в следующем списке указано значение каждого поля.
- IN = В этом поле отображается устройство для входящего трафика.
- OUT = В этом поле отображается устройство для исходящего трафика.
- MAC = В этом поле отображается MAC-адрес устройства.
- SRC = В этом поле отображается IP-адрес источника подключения.
- DST = отображает IP-адрес назначения соединения.
- LEN = В этом поле отображается длина пакета.
- TOS = (Тип службы). Это поле используется для классификации пакетов и не рекомендуется.
- PREC = В этом поле отображается приоритетный тип службы.
- TTL = В этом поле отображается время жизни.
- ID = В этом поле отображается уникальный идентификатор IP-дейтаграммы, который совместно используется фрагментами одного и того же пакета.
- PROTO = В этом поле отображается используемый протокол.
Чтобы прочитать последние записи журнала, выполните следующую команду:
sudo tail -f /var/log/ufw.log
Новые поля SPT и DPT, которые ранее не объяснялись, показывают порты источника и назначения.
Другая команда для чтения журналов UFW с помощью grep:
grep -i ufw /var/log/syslog
Или следующую команду:
grep -i ufw /var/log/messages
Вы также можете запустить:
Вывод:
UFW – это самый простой интерфейс брандмауэра CLI для Iptables на рынке. Его использование даже быстрее и проще, чем использование любого другого брандмауэра, включая программное обеспечение с графическим интерфейсом. Некоторые пользователи игнорируют функцию ведения журнала, и ее необходимо включить и правильно настроить, чтобы получать правильные журналы из UFW. Также важно помнить, что для работы этой функции необходимо включить rsyslog.
Как видите, UFW позволяет нам управлять уровнем детализации и предоставляет очень подробный отчет о подключениях. UFW – отличный инструмент для неопытных пользователей, позволяющий контролировать свой сетевой трафик и защищать свою систему, реализуя правила или действия с простым синтаксисом. Обучение использованию этого интерфейса Iptables – отличный способ для новых пользователей познакомиться с миром брандмауэров перед тем, как пройти через Iptables и Netfilter. UFW имеет простой графический интерфейс (GUFW) для применения правил и действий и управления вашим брандмауэром, несмотря на то, что версию CLI еще проще использовать для любого уровня пользователя Linux.
Мы надеемся, что эта статья, объясняющее, как проверять логи UFW, было полезно. Следуйте подсказкам Linux, чтобы получить больше советов и руководств по Linux.