Logcheck 目前发送大量包含此类消息的电子邮件
Jun 6 19:31:44 <hostname> kernel: [UFW BLOCK] IN=eth0 OUT= MAC=<mac-address> SRC=<source-ip> DST=<destination-ip> LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=28729 DF PROTO=TCP SPT=56681 DPT=80 WINDOW=16652 RES=0x00 ACK FIN URGP=0
根据这个问答,这个数据包被阻止,因为它是可选的。
有以下情况是否合理 /etc/logcheck/ignore.d.server/ufw
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel: \[UFW BLOCK\].*ACK FIN.*
在我个人看来,logcheck 毫无价值,应该被禁用(信噪比非常低,并且关闭它所需的工作非常广泛,所以最好杀死它)。
如果您不同意该观点,那么您通常可以忽略所有ufw 消息。
(你的忽略模式对我来说当然是合理的。)
您不需要收到防火墙正在丢弃流量的通知。
如果您在网络通信方面遇到问题,您应该足够聪明,亲自查看防火墙日志。除此之外,您应该在配置防火墙时对其进行测试,以确保它允许您告诉它允许的内容,并丢弃其他所有内容。之后监视其日志确实是多余的。
| 归档时间: |
|
| 查看次数: |
705 次 |
| 最近记录: |