Logcheck 目前会发送大量包含类似以下消息的电子邮件
Jun 6 19:31:44 <hostname> kernel: [UFW BLOCK] IN=eth0 OUT= MAC=<mac-address> SRC=<source-ip> DST=<destination-ip> LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=28729 DF PROTO=TCP SPT=56681 DPT=80 WINDOW=16652 RES=0x00 ACK FIN URGP=0
根据这个问答由于该数据包是可选的,因此被阻止。
下列做法是否合理/etc/logcheck/ignore.d.server/ufw
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel: \[UFW BLOCK\].*ACK FIN.*
答案1
以我个人的观点来看,logcheck 毫无价值,应该被禁用(信噪比如此之低,而关闭它所需的工作如此之多,所以最好将它关闭)。
如果你不同意这个观点,那么你通常可以忽略全部ufw 消息。
(您的忽略模式对我来说当然似乎是合理的。)
你不需要已通知防火墙正在丢弃流量。
如果您在网络通信方面遇到问题,您应该足够聪明,自己查看防火墙日志。除此之外,您应该在配置防火墙时对其进行测试,以确保它允许您允许的内容,并丢弃其他所有内容。此后监控其日志确实是多余的。
答案2
您这里的问题可能不是 logcheck,而是您在 ufw 中启用了日志记录(用 禁用它sudo ufw logging off)。
我认为最合适的做法是在调试时(例如在 ufw 的初始设置期间以及遇到问题时)打开日志记录,然后在其他时间关闭它,以提高性能和简化操作。因此,这根本不是 logcheck 的问题,只是打开特定类型的日志的问题。