यूएफडब्ल्यू की ऑडिट लॉग प्रविष्टियों का क्या मतलब है?

11

मुझे कभी-कभी इन AUDIT लॉग प्रविष्टियों का एक बहुत कुछ मिल रहा है 

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

इसका क्या मतलब है? वे कब होते हैं और क्यों होते हैं? क्या मुझे इन विशिष्ट प्रविष्टियों को अक्षम करना चाहिए? मैं यूएफडब्ल्यू लॉगिंग को अक्षम करना नहीं चाहता, लेकिन मुझे यकीन नहीं है कि ये लाइनें बिल्कुल भी उपयोगी हैं।

ध्यान दें कि यह वास्तव में नहीं होता है /var/log/ufw.log। यह केवल में होता है /var/log/syslog। यह एक केस क्यों है?

और जानकारी

  • मेरा लॉगिंग मध्यम पर सेट है: Logging: on (medium)
firewall  logging  ufw 
टॉम
स्रोत

जवाबों:

3

संदेशों lowको हटाने के लिए अपनी लॉगिंग सेट करें AUDIT

AUDIT का उद्देश्य (जो मैं देख रहा हूं) गैर-डिफ़ॉल्ट / अनुशंसित लॉगिंग से संबंधित है - हालांकि, यह एक अनुमान है, और मुझे इसके साथ कुछ भी ठोस नहीं मिल सकता है।

जेआरजी
स्रोत
लॉग का स्तर विकल्प मेनू में है।
MUY बेल्जियम
@MUYBelgium विकल्प मेनू किस टूल का है?
21
9

वह लाइन पर निर्भर है। आमतौर पर, यह फ़ील्ड = मान है।

पैकेट के लिए IN, OUT, इनगोई इंटरफ़ेस, या आउटगोइंग (या दोनों, हैं जो सिर्फ रिले हैं।

उनमें से कुछ हैं:

  • टीओएस , सेवा के प्रकार के लिए,
  • DST गंतव्य आईपी है,
  • एसआरसी स्रोत आईपी है
  • टीटीएल जीने का समय है, एक छोटा काउंटर हर बार एक पैकेट को दूसरे राउटर से गुजारा जाता है (इसलिए यदि कोई लूप है, तो पैकेज एक बार 0 पर ही नष्ट हो जाता है)
  • DF "बिट फ़्रेग्मेंट" नहीं है, पैकेट को भेजे जाने पर खंडित नहीं होने के लिए कह रहा है
  • PROTO प्रोटोकॉल है (ज्यादातर टीसीपी और यूडीपी)
  • एसपीटी स्रोत पोर्ट है
  • DPT डेस्टिनेशन पोर्ट है

आदि।

आपको टीसीपी / यूडीपी / आईपी प्रलेखन पर एक नज़र डालनी चाहिए, जहां सब कुछ अधिक विस्तृत तरीके से समझाया गया है जो मैं कभी भी कर सकता था।

पहले एक को लेते हैं, इसका मतलब है कि 176.58.105.134 ने पोर्ट 123 पर 194.238.49.2 के लिए एक यूडीपी पैकेट भेजा। के लिए है ntp। इसलिए मुझे लगता है कि कोई व्यक्ति आपके कंप्यूटर को एक ntp सर्वर के रूप में उपयोग करने की कोशिश करता है, जो त्रुटि से संभव है।

दूसरी पंक्ति के लिए, यह उत्सुक है, कि लूपबैक इंटरफ़ेस (लो) पर ट्रैफ़िक है, अर्थात यह कहीं भी नहीं जा रहा है, यह आपके कंप्यूटर से जाता है और आता है।

मैं जाँच करूँगा कि क्या कुछ tcp पोर्ट 30002 पर lsofया के साथ सुन रहा है netstat

विविध
स्रोत
धन्यवाद। पोर्ट 30002 एक मोंगोडब आर्बिटर चल रहा है। ntpहालांकि मुझे कुछ भी पता नहीं है , क्या मुझे चिंतित होना चाहिए?
टॉम
एनटी एनटीपी केवल समय निर्धारित करने के लिए है, आप संभवतः पहले से ही जानने के बिना उपयोग किए जाते हैं (जब आप गनोम में "सिंक टाइम के लिए नेटवर्क का उपयोग करते हैं", तो यह एनटीपी का उपयोग करता है)। यह सिर्फ एक नेटवर्क में समय सिंक करता है। शायद आईपी ntp नेटवर्क ( pool.ntp.org/fr ) के वैश्विक पूल का हिस्सा था , इसलिए इंटरनेट पर किसी से अनुरोध?
विविध
2

जो कुछ कहा गया है, उसके शीर्ष पर, यह भी पता लगाना संभव है कि iptables नियमों का निरीक्षण करके लॉग क्या होने जा रहा है। विशेष रूप से लॉग किए जा रहे मेल नियमों को इस तरह से फ़िल्टर किया जा सकता है sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

वे अधिकांश भाग डिफ़ॉल्ट नियमों के लिए हैं। ऊपर दिए गए आउटपुट का निरीक्षण करने से ufw-before-*चेन का पता चलता है [UFW AUDIT ..] लॉग जनरेट करने के लिए।

मैं iptables पर एक बड़ा विशेषज्ञ नहीं हूं और UFW मैनुअल इस पर बहुत मददगार नहीं है, लेकिन जहाँ तक मैं नियमों को बता सकता हूँ कि यह चैन सिट /etc/ufw/before.rules में मिलते हैं

उदाहरण के लिए नीचे दी गई लाइनें लूपबैक कनेक्शन की अनुमति दे रही हैं जो आपके लॉग में अंतिम दो उदाहरण लाइनों को ट्रिगर कर सकता है (जो [UFW AUDIT] IN = lo से शुरू होता है)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

मेरे हिस्से के रूप में, मुझे 5353 पोर्ट पर बहुत सारे लॉग इन एलएलएमएनआर पैकेट मिले हैं :

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

जो मुझे लगता है कि निम्नलिखित के कारण होता है rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

उन्हें निष्क्रिय करने का एक तरीका निम्नलिखित में से आग करना है:

sudo ufw deny 5353
सेबस्टियन मुलर
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.