如何找到转储到系统日志的内容?

如何找到转储到系统日志的内容?

/var/log/syslog文件(Ubuntu 16.04LTS)目前正在迅速扩大,当我检查日志内容时,它完全充满了:

Dec  5 17:49:40 Desktop1 kernel: [54948.301365] IN=wlo1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=88 TOS=0x10 PREC=0x00 TTL=64 ID=33465 DF PROTO=TCP SPT=59882 DPT=22 WINDOW=4096 RES=0x00 ACK PSH URGP=0 

毫无例外。

我知道 Linuxsyslog文件是进程网络事件的一般垃圾场,但我不记得曾经经历过syslog这种规模的饱和,对我来说网络活动是正常的。

我一直在摆弄 Iptables 和 UFW 规则集,可能我无意中增强了日志记录。无论如何,网络事件被列为Kernel,并且无法洞察哪个进程负责。

有可能我只是一无所知,这完全正常,但以防万一:

我的问题:

- 这种规模的网络 IO 日志记录正常吗?

如果没有:那么我认为只需恢复iptablesUFW规则集就可以快速解决问题:

- 如何找到 iptables 规则文件并恢复它们?

- 如何找到 UFW 规则文件并恢复它们?

(Ubuntu 16.04 LTS)

答案1

ufw是 iptables 的前端,所以我们只需要地址 ufw。请参阅:https://wiki.ubuntu.com/UncomplicatedFirewall您的系统日志是否已达到千字节级别、兆字节级别甚至更大?找出原因:

ls -al /var/log/syslog*
ls -al /var/log/ufw*

您可以使用以下方法将 ufw 恢复为默认值:

sudo ufw reset

此命令还会禁用 ufw,因此如果您希望它以默认级别重新启动,请执行以下操作:

sudo ufw enable

您可以使用以下方式调整日志记录级别:

sudo ufw logging LEVEL

其中 LEVEL 可以是“off”、“low”、“medium”、“high”和“full”。ufw 默认为“low”。

参考:man ufw

相关内容