UFW 的审计日志条目是什么意思？

Question

我有时会收到很多这些 AUDIT 日志条目

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

这是什么意思？它们什么时候发生，为什么发生？我应该并且可以禁用这些特定条目吗？我不想禁用 UFW 日志记录，但我不确定这些行是否有用。

请注意，这实际上不会发生在/var/log/ufw.log. 它只发生在/var/log/syslog. 为什么会这样？

更多信息

• 我的日志记录设置为中等： Logging: on (medium)

Answer 1

那要看线路了。通常，它是字段=值。

对于刚刚中继的数据包，有 IN、OUT、传入接口或传出接口（或两者兼有）。

其中一些是：

• TOS，对于服务类型，
• DST是目标 IP，
• src是源ip
• TTL是生存时间，每次数据包通过另一个路由器时都会递减一个小计数器（因此，如果存在循环，则数据包会自行销毁一次至 0）
• DF是“不分片”位，要求数据包在发送时不被分片
• PROTO是协议（主要是 TCP 和 UDP）
• SPT是源端口
• DPT是目的端口

等等。

您应该查看 TCP/UDP/IP 文档，其中所有内容都以我所能做的更详细的方式进行了解释。

我们以第一个为例，这意味着 176.58.105.134 在端口 123 上为 194.238.48.2 发送了一个 UDP 数据包。那是为了ntp。所以我猜有人试图将您的计算机用作 ntp 服务器，可能是错误的。

对于另一条线路，这很奇怪，这是环回接口 ( lo ) 上的流量，即它不会去任何地方，它来自您的计算机。

我会用lsof或来检查是否有东西在 tcp 端口 30002 上侦听netstat。

Answer 2

将日志记录设置为low删除AUDIT消息。

审计的目的（从我所看到的）与非默认/推荐的日志记录有关 - 但是，这是一个猜测，我似乎找不到任何具体的内容。