Pesquisa de site

Registro UFW: tudo o que você precisa saber


Aprenda tudo sobre os logs UFW e como usá-los de maneira eficaz. Este guia completo cobre tudo o que você precisa saber sobre os logs do UFW.

O firewall UFW vem pré-instalado no Ubuntu e, como o nome sugere, os logs UFW podem oferecer informações de dentro para fora sobre como o seu firewall lida com solicitações de entrada e saída.

Mas antes disso, você precisa verificar se o log do UFW está habilitado ou não:

sudo ufw status verbose

Se você receber uma saída dizendo Logging: on (low), você está pronto, mas se mostrar Logging: off como mostrado acima, use o seguinte comando para ligar Registro UFW:

sudo ufw logging on

Depois de fazer login no UFW, você pode usar o comando less para verificar os logs do firewall UFW em seu sistema:

sudo less /var/log/ufw.log

Tantos termos complexos, certo? Bem, você não precisa se preocupar com eles; Descreverei cada termo usado nos logs do UFW em um momento.

Mas antes disso, deixe-me compartilhar várias maneiras de verificar os logs do UFW.

Como verificar os logs do Firewall UFW no Linux

Existem várias maneiras de verificar os logs do firewall UFW; Já compartilhei um deles no início deste guia.

Então, vamos dar uma olhada nos restantes.

Verifique os logs do Firewall usando o comando tail

Se você está procurando uma maneira de monitorar os logs do firewall ao vivo, você pode usar o comando tail.

Por padrão, o comando tail mostrará as últimas 10 linhas do arquivo, mas quando usado com a opção -f, você pode monitorar a cobertura ao vivo dos logs do firewall:

tail -f /var/log/ufw.log

Verifique os logs do Firewall usando o comando grep

Além de /var/log/ufw, existem dois outros locais onde você encontrará os logs do firewall UFW. Porém, esses locais não são específicos apenas dos logs do firewall.

Ou seja, você também encontrará logs de outros serviços. E nesses momentos, você pode usar o comando grep para filtrar os resultados.

Portanto, você pode filtrar os logs do firewall UFW do syslog:

grep -i ufw /var/log/syslog

Ou você pode filtrar os resultados de kern.log:

grep -i ufw /var/log/kern.log

Como ambos lhe darão os mesmos resultados:

Agora, vamos dar uma olhada nos diferentes níveis de registro do firewall UFW.

Como alterar o nível de registro do firewall UFW

Por padrão, o registro será cronometrado no nível baixo:

Mas antes de ver como você pode alterar a regra padrão, deixe-me explicar os diferentes níveis de registro disponíveis para você.

Diferentes níveis de registro do Firewall UFW

Existem 5 níveis de registro UFW.

  • off: significa que o registro em log está desabilitado.

  • low: Armazenará logs relacionados a pacotes bloqueados que não correspondem às regras atuais do firewall e mostrará entradas de log relacionadas às regras registradas.
    Sim, você também pode especificar regras registradas e mostraremos como na parte posterior deste guia.

  • médio: Além de todos os logs oferecidos pelo nível baixo, você obtém logs de pacotes inválidos, novas conexões e logs feitos por meio de limitação de taxa.

  • high: Incluirá logs para pacotes com limitação de taxa e sem limitação de taxa.

  • full: Este nível é semelhante ao nível alto, mas não inclui a limitação de taxa.

Agora, se você deseja alterar seu nível de registro padrão ou atual, basta seguir a estrutura de comando fornecida:

sudo ufw logging logging_level

Portanto, se eu quiser alterar meu nível de registro atual para medium, isso pode ser feito usando o comando fornecido:

sudo ufw logging medium

Como adicionar regra de registro UFW

Como mencionei anteriormente, você pode adicionar uma regra de log, especialmente se quiser monitorar serviços específicos.

Eu recomendo que você diminua seu nível de registro para ter menos confusão nos registros e ser mais específico sobre o monitoramento intencional.

Para adicionar a regra de log, basta seguir a sintaxe do comando:

sudo ufw allow log service_name

Por exemplo, adicionei uma regra de log para a porta no. 22 (SSH):

sudo ufw allow log 22/tcp

Interpretar logs do Firewall UFW

Depois de usar qualquer um dos métodos mostrados para obter logs de firewall UFW, você acabará obtendo algo assim (para configurações padrão):

E se você adicionou a regra de log UFW como mostrei anteriormente, você encontrará alguns extras:

Como você pode ver, há uma pequena diferença nas duas imagens e irei abordar ambas aqui.

  • 2 de dezembro 05:48:09 Kernel LHB: [  180.759805]: mostra a data, hora, nome do host e horário do kernel desde a inicialização.

  • [UFW BLOCK]: Se você estiver usando logs UFW nas configurações padrão, o nível de registro será bloqueado no nível baixo. Isso significa que ele mostrará apenas os pacotes rejeitados que não se enquadram nas regras do UFW.
    E UFW BLOCK está simplesmente indicando que o pacote foi bloqueado.

  • [UFW ALLOW]: Apesar do nível de registro padrão, se você adicionou uma regra de registro, ela registrará todos os detalhes relacionados a esse serviço e UFW ALLOW indicará que o pacote foi permitido .

  • IN=ens33: Mostra a interface de onde o pacote chegou.

  • OUT=: Para a maioria dos usuários, não conterá nenhum valor e se estiver indicando algum valor, significa que houve um evento de saída.

  • MAC=00:0c:29:71:06:82:8c:b8:7e:b7:f7:46:08:00: toda a sequência de números e alfabetos nada mais é do que uma combinação de endereços MAC de origem e destino.

  • SRC=192.168.1.7: Indica o endereço IP da origem do pacote.

  • DST=192.168.1.5: Mostra o endereço IP do destino do pacote e será o IP do seu sistema.

  • LEN=60: Mostra o comprimento do pacote (60 bytes no meu caso).

  • TOS=0x10: Indica o tipo de serviço.

  • PREC=0x00: Mostra o tipo de serviço "Precedência".

  • TTL=64: Mostra o TTL (Time To Live) do pacote. Em termos simples, ele mostrará quanto tempo o pacote irá saltar até expirar se o destino não for especificado.

  • ID=4444: Fornecerá um ID exclusivo do datagrama IP e será compartilhado pelos fragmentos dos mesmos pacotes.

  • DF: O sinalizador "Não fragmentar" do TCP.

  • PROTO=TCP: Mostra o protocolo utilizado para transmissão do pacote.

  • SPT=55656: Obtém a porta de origem do pacote.

  • DPT=22: Indica a porta de destino do pacote.

  • WINDOW=64240: Mostra o tamanho da janela TCP.

  • RES=0x00: Indica os bits reservados.

  • SYN URGP=0: Aqui, o sinalizador SYN indica a solicitação para fazer uma nova conexão e URGP=0 significa que a conexão não foi estabelecida.

  • ACK: O sinalizador de confirmação é usado para indicar que o pacote foi recebido com sucesso pelo host.

  • PSH: O sinalizador Push indica que os dados recebidos precisam ser transmitidos ao aplicativo em vez de serem modificados.

Empacotando

Neste guia, abordei alguns dos aspectos básicos dos logs de firewall UFW, que incluem como você pode ativá-los, alterar níveis e conteúdo dos logs de firewall.

Você pode aprender mais sobre o UFW neste guia abaixo.

Espero que isso seja útil para você e se tiver alguma dúvida ou sugestão, deixe-me saber nos comentários.

Artigos relacionados: