该/var/log/syslog文件(Ubuntu 16.04LTS)目前正在迅速扩大,当我检查日志内容时,它完全充满了:
Dec 5 17:49:40 Desktop1 kernel: [54948.301365] IN=wlo1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=88 TOS=0x10 PREC=0x00 TTL=64 ID=33465 DF PROTO=TCP SPT=59882 DPT=22 WINDOW=4096 RES=0x00 ACK PSH URGP=0
毫无例外。
我知道 Linuxsyslog文件是进程网络事件的一般垃圾场,但我不记得曾经经历过syslog这种规模的饱和,对我来说网络活动是正常的。
我一直在摆弄 Iptables 和 UFW 规则集,可能我无意中增强了日志记录。无论如何,网络事件被列为Kernel,并且无法洞察哪个进程负责。
有可能我只是一无所知,这完全正常,但以防万一:
我的问题:
- 这种规模的网络 IO 日志记录正常吗?
如果没有:那么我认为只需恢复iptables和UFW规则集就可以快速解决问题:
- 如何找到 iptables 规则文件并恢复它们?
- 如何找到 UFW 规则文件并恢复它们?
(Ubuntu 16.04 LTS)
答案1
ufw是 iptables 的前端,所以我们只需要地址 ufw。请参阅:https://wiki.ubuntu.com/UncomplicatedFirewall您的系统日志是否已达到千字节级别、兆字节级别甚至更大?找出原因:
ls -al /var/log/syslog*
ls -al /var/log/ufw*
您可以使用以下方法将 ufw 恢复为默认值:
sudo ufw reset
此命令还会禁用 ufw,因此如果您希望它以默认级别重新启动,请执行以下操作:
sudo ufw enable
您可以使用以下方式调整日志记录级别:
sudo ufw logging LEVEL
其中 LEVEL 可以是“off”、“low”、“medium”、“high”和“full”。ufw 默认为“low”。
参考:man ufw