Comment vérifier mon journal UFW?

Ce tutoriel explique comment activer la journalisation UFW (pare-feu simple) et comment lire les journaux. Un pare-feu est essentiel pour maintenir la sécurité sur vos systèmes Linux et Ubuntu.

Après avoir lu ce tutoriel, vous saurez comment trouver et lire les journaux UFW. Pour un tutoriel complet de l'UFW, vous pouvez lire en travaillant avec Debian Firewls (UFW).

Pour commencer, vous pouvez activer UFW avec le statut verbeux Option pour vérifier si la journalisation est activée ou désactivée. Exécutez la commande ci-dessous:

Sudo UFW Status Verbose

Comme vous pouvez le voir, la journalisation est désactivée (désactivé). Pour activer la connexion sur UFW, exécutez la commande ci-dessous:

sudo ufw connexion

Comme vous pouvez le voir, la journalisation a été activée.

Si vous souhaitez le revérifier, exécutez le Statut UFW Verbose Encore une fois comme indiqué ci-dessous:

Sudo UFW Status Verbose

Comme vous pouvez le voir, la journalisation est activée et entre parenthèses, vous pouvez lire (faible). En effet, il y a cinq niveaux de journalisation différents:

• Désactivé: Pas de journalisation gérée.
• Sur (bas): Enregistre tous les paquets bloqués ou autorisés par des politiques définies.
• Sur (moyen): Identique à ci-dessus, et en outre, il comprend des paquets qui ne correspondent pas aux politiques.
• En haut): Journaux de tous les taux de limitation et sans limite de taux.
• Sur (complet): Journaux tous les paquets sans limite de taux.

Par exemple, si vous souhaitez modifier le niveau de journalisation en milieu, vous pouvez exécuter la commande ci-dessous.

Sudo UFW Logging Medium

Note: Dans la commande ci-dessus, remplacer moyen avec une autre valeur pour un niveau de journalisation différent.

Habituellement, les journaux sont stockés sous le / var / log / répertoire, et UFW n'est pas l'exception. Pour voir les journaux disponibles UFW, vous pouvez utiliser le Commande LS et un pour implémenter un joker, comme indiqué dans l'exemple suivant.

sudo ls / var / log / ufw *;

Comme vous pouvez le voir, il existe plusieurs journaux UFW. Voyons comment les lire et les interpréter.

Note: Pour que la journalisation UFW fonctionne, rsyslog doit être activé. Vous pouvez le vérifier en exécutant la commande ci-dessous:

Statut de service RSYSLOG

Pour simplement lire tous les journaux sans paramètres, vous pouvez exécuter:

sudo moins / var / log / ufw *

Comme vous pouvez le voir, il existe de nombreux champs, et la liste suivante donne la signification de chaque champ.

• En = Ce champ montre l'appareil pour le trafic entrant.
• Out = Ce champ montre l'appareil pour le trafic sortant.
• Mac = Ce champ montre l'adresse MAC de l'appareil.
• Src = Ce champ affiche une adresse IP de source de connexion.
• Dst = Affiche l'adresse IP de destination d'une connexion.
• Len = Ce champ montre la longueur du paquet.
• Tos = (Type de service) Ce champ est utilisé pour la classification des paquets, et il est obsolète.
• Pré-= Ce champ montre le type de service de priorité.
• TTL = ce champ montre Temps de vivre.
• Id = Ce champ montre un ID unique pour le datagramme IP, qui est partagé par des fragments du même paquet.
• Proto = ce champ montre le protocole utilisé.

Pour lire les dernières entrées de journal, exécutez la commande suivante:

Sudo Tail -f / var / log / ufw.enregistrer

Les nouveaux champs SPT et Dpt, qui n'ont pas été expliqués précédemment, affichez les ports source et de destination.

Une commande différente pour lire les journaux UFW en utilisant grep serait:

grep -i ufw / var / log / syslog

Ou la commande suivante:

grep -i ufw / var / log / messages

Vous pouvez également courir:

grep -i ufw / var / log / kern.enregistrer

Conclusion:

UFW est le pare-feu CLI le plus simple pour les iptables sur le marché. L'utiliser est encore plus rapide et plus simple que d'utiliser tout autre pare-feu, y compris le logiciel GUI. Certains utilisateurs ignorent la fonction de journalisation, et il doit être activé et correctement configuré pour obtenir des journaux corrects à partir de l'UFW. Il est également important de se souvenir rsyslog doit être activé pour que cette fonctionnalité fonctionne.

Comme vous pouvez le voir, l'UFW nous permet de gérer le niveau de verbosité, et il fournit un rapport très détaillé sur les connexions. UFW est un excellent outil pour les utilisateurs non avancés pour contrôler leur trafic réseau et protéger leur système en mettant en œuvre des règles ou des actions avec une syntaxe facile. Apprendre à utiliser ce front-end iptables est un excellent moyen pour les nouveaux utilisateurs d'être introduits dans le monde des pare-feu avant de passer par iptables et netfilter. UFW a une interface GUI simple (GUFW) pour appliquer des règles et des actions et gérer votre pare-feu, bien que la version CLI soit encore plus facile à utiliser pour tout niveau d'utilisateur Linux.

J'espère que ce tutoriel expliquant comment vérifier les journaux UFW a été utile. Continuez à suivre l'astuce Linux pour plus de conseils et de tutoriels Linux.