Registro UFW: tudo o que você precisa saber
Aprenda tudo sobre os logs UFW e como usá-los de maneira eficaz. Este guia completo cobre tudo o que você precisa saber sobre os logs do UFW.
O firewall UFW vem pré-instalado no Ubuntu e, como o nome sugere, os logs UFW podem oferecer informações de dentro para fora sobre como o seu firewall lida com solicitações de entrada e saída.
Mas antes disso, você precisa verificar se o log do UFW está habilitado ou não:
sudo ufw status verbose
Se você receber uma saída dizendo Logging: on (low)
, você está pronto, mas se mostrar Logging: off
como mostrado acima, use o seguinte comando para ligar Registro UFW:
sudo ufw logging on
Depois de fazer login no UFW, você pode usar o comando less para verificar os logs do firewall UFW em seu sistema:
sudo less /var/log/ufw.log
Tantos termos complexos, certo? Bem, você não precisa se preocupar com eles; Descreverei cada termo usado nos logs do UFW em um momento.
Mas antes disso, deixe-me compartilhar várias maneiras de verificar os logs do UFW.
Como verificar os logs do Firewall UFW no Linux
Existem várias maneiras de verificar os logs do firewall UFW; Já compartilhei um deles no início deste guia.
Então, vamos dar uma olhada nos restantes.
Verifique os logs do Firewall usando o comando tail
Se você está procurando uma maneira de monitorar os logs do firewall ao vivo, você pode usar o comando tail.
Por padrão, o comando tail mostrará as últimas 10 linhas do arquivo, mas quando usado com a opção -f
, você pode monitorar a cobertura ao vivo dos logs do firewall:
tail -f /var/log/ufw.log
Verifique os logs do Firewall usando o comando grep
Além de /var/log/ufw
, existem dois outros locais onde você encontrará os logs do firewall UFW. Porém, esses locais não são específicos apenas dos logs do firewall.
Ou seja, você também encontrará logs de outros serviços. E nesses momentos, você pode usar o comando grep para filtrar os resultados.
Portanto, você pode filtrar os logs do firewall UFW do syslog
:
grep -i ufw /var/log/syslog
Ou você pode filtrar os resultados de kern.log
:
grep -i ufw /var/log/kern.log
Como ambos lhe darão os mesmos resultados:
Agora, vamos dar uma olhada nos diferentes níveis de registro do firewall UFW.
Como alterar o nível de registro do firewall UFW
Por padrão, o registro será cronometrado no nível baixo:
Mas antes de ver como você pode alterar a regra padrão, deixe-me explicar os diferentes níveis de registro disponíveis para você.
Diferentes níveis de registro do Firewall UFW
Existem 5 níveis de registro UFW.
-
off
: significa que o registro em log está desabilitado. low
: Armazenará logs relacionados a pacotes bloqueados que não correspondem às regras atuais do firewall e mostrará entradas de log relacionadas às regras registradas.
Sim, você também pode especificar regras registradas e mostraremos como na parte posterior deste guia.médio
: Além de todos os logs oferecidos pelo nível baixo, você obtém logs de pacotes inválidos, novas conexões e logs feitos por meio de limitação de taxa.high
: Incluirá logs para pacotes com limitação de taxa e sem limitação de taxa.full
: Este nível é semelhante ao nível alto, mas não inclui a limitação de taxa.
Agora, se você deseja alterar seu nível de registro padrão ou atual, basta seguir a estrutura de comando fornecida:
sudo ufw logging logging_level
Portanto, se eu quiser alterar meu nível de registro atual para medium
, isso pode ser feito usando o comando fornecido:
sudo ufw logging medium
Como adicionar regra de registro UFW
Como mencionei anteriormente, você pode adicionar uma regra de log, especialmente se quiser monitorar serviços específicos.
Eu recomendo que você diminua seu nível de registro para ter menos confusão nos registros e ser mais específico sobre o monitoramento intencional.
Para adicionar a regra de log, basta seguir a sintaxe do comando:
sudo ufw allow log service_name
Por exemplo, adicionei uma regra de log para a porta no. 22 (SSH):
sudo ufw allow log 22/tcp
Interpretar logs do Firewall UFW
Depois de usar qualquer um dos métodos mostrados para obter logs de firewall UFW, você acabará obtendo algo assim (para configurações padrão):
E se você adicionou a regra de log UFW como mostrei anteriormente, você encontrará alguns extras:
Como você pode ver, há uma pequena diferença nas duas imagens e irei abordar ambas aqui.
2 de dezembro 05:48:09 Kernel LHB: [ 180.759805]
: mostra a data, hora, nome do host e horário do kernel desde a inicialização.[UFW BLOCK]
: Se você estiver usando logs UFW nas configurações padrão, o nível de registro será bloqueado no nível baixo. Isso significa que ele mostrará apenas os pacotes rejeitados que não se enquadram nas regras do UFW.
EUFW BLOCK
está simplesmente indicando que o pacote foi bloqueado.[UFW ALLOW]
: Apesar do nível de registro padrão, se você adicionou uma regra de registro, ela registrará todos os detalhes relacionados a esse serviço eUFW ALLOW
indicará que o pacote foi permitido .IN=ens33
: Mostra a interface de onde o pacote chegou.OUT=
: Para a maioria dos usuários, não conterá nenhum valor e se estiver indicando algum valor, significa que houve um evento de saída.MAC=00:0c:29:71:06:82:8c:b8:7e:b7:f7:46:08:00
: toda a sequência de números e alfabetos nada mais é do que uma combinação de endereços MAC de origem e destino.SRC=192.168.1.7
: Indica o endereço IP da origem do pacote.DST=192.168.1.5
: Mostra o endereço IP do destino do pacote e será o IP do seu sistema.LEN=60
: Mostra o comprimento do pacote (60 bytes no meu caso).TOS=0x10
: Indica o tipo de serviço.PREC=0x00
: Mostra o tipo de serviço "Precedência".TTL=64
: Mostra o TTL (Time To Live) do pacote. Em termos simples, ele mostrará quanto tempo o pacote irá saltar até expirar se o destino não for especificado.ID=4444
: Fornecerá um ID exclusivo do datagrama IP e será compartilhado pelos fragmentos dos mesmos pacotes.DF
: O sinalizador "Não fragmentar" do TCP.PROTO=TCP
: Mostra o protocolo utilizado para transmissão do pacote.SPT=55656
: Obtém a porta de origem do pacote.DPT=22
: Indica a porta de destino do pacote.WINDOW=64240
: Mostra o tamanho da janela TCP.RES=0x00
: Indica os bits reservados.SYN URGP=0
: Aqui, o sinalizadorSYN
indica a solicitação para fazer uma nova conexão eURGP=0
significa que a conexão não foi estabelecida.ACK
: O sinalizador de confirmação é usado para indicar que o pacote foi recebido com sucesso pelo host.PSH
: O sinalizador Push indica que os dados recebidos precisam ser transmitidos ao aplicativo em vez de serem modificados.
Empacotando
Neste guia, abordei alguns dos aspectos básicos dos logs de firewall UFW, que incluem como você pode ativá-los, alterar níveis e conteúdo dos logs de firewall.
Você pode aprender mais sobre o UFW neste guia abaixo.
Espero que isso seja útil para você e se tiver alguma dúvida ou sugestão, deixe-me saber nos comentários.