大量に出る UFW BLOCK ログを止める

カーネルログで [UFW BLOCK] ログが大量に出て超うざい。

困ったことに、ufw であることを示す情報が journal ログに対して付いてこない。 journalctl -u ufw で絞ることができない。

"SYSLOG_FACILITY" : "0", = kern なのでカーネル扱い

"PRIORITY" : "4", = warning なので警告扱い

journalctl:SYSLOG_FACILITY

journalctl:PRIORITY

これではログが出まくるのは当然。

iptables は kern ログしか出しようがない。

iptables 自体は --log-level でログレベルの設定はできる。ufw が非対応。

オプションで対応するよう提案はされているが、無視されている。

方法論

ufw 自体のログ出力を止める。(よくない)

$ sudo ufw logging off

ログのファシリティを変える。(望ましいができない)

ログレベルを変える。(よくないがこれしかなさそう)

[UFW BLOCK] として出てくるログ

code:journalctl.json

{

"SYSLOG_IDENTIFIER" : "kernel",

"__CURSOR" : "s=b9f8d362ee0a4ca0a3e29e83dc46367e;i=470d3fa;b=f961edf622e544edab3da2fe810b8674;m=ac81322d4;t=6096ed6e9247d;x=9058e4841d77b0b9",

"_TRANSPORT" : "kernel",

"MESSAGE" : "UFW BLOCK IN=ens3 OUT= MAC=fa:16:3e:e7:11:44:20:04:0f:ac:5a:b4:08:00 SRC=210.97.28.216 DST=162.43.16.211 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=14636 PROTO=TCP SPT=5628 DPT=23 WINDOW=21684 RES=0x00 SYN URGP=0 ",

"_RUNTIME_SCOPE" : "system",

"_BOOT_ID" : "f961edf622e544edab3da2fe810b8674",

"SYSLOG_FACILITY" : "0",

"__MONOTONIC_TIMESTAMP" : "46306370260",

"_SOURCE_MONOTONIC_TIMESTAMP" : "46307067145",

"_HOSTNAME" : "xserver1.bugbearr.jp",

"_MACHINE_ID" : "0b23c639f2134da593a4df62f79eb3db",

"PRIORITY" : "4",

"__REALTIME_TIMESTAMP" : "1699221516919933"

}

こちらは UFW のサービス開始時のログ。これは journalctl -u ufw で絞ることができる。

code:journalctl.json

{

"_UID" : "0",

"_BOOT_ID" : "8856e31050174a55b29e861b11cd5004",

"__REALTIME_TIMESTAMP" : "1699221779278707",

"_SYSTEMD_UNIT" : "init.scope",

"SYSLOG_IDENTIFIER" : "systemd",

"CODE_FILE" : "src/core/job.c",

"_CMDLINE" : "/sbin/init",

"SYSLOG_FACILITY" : "3",

"_MACHINE_ID" : "0b23c639f2134da593a4df62f79eb3db",

"_SYSTEMD_SLICE" : "-.slice",

"_TRANSPORT" : "journal",

"CODE_FUNC" : "job_emit_start_message",

"_CAP_EFFECTIVE" : "1ffffffffff",

"__MONOTONIC_TIMESTAMP" : "3895606",

"TID" : "1",

"_PID" : "1",

"_HOSTNAME" : "xserver1.bugbearr.jp",

"_RUNTIME_SCOPE" : "system",

"_SOURCE_REALTIME_TIMESTAMP" : "1699221779278103",

"JOB_ID" : "96",

"MESSAGE_ID" : "7d4958e842da4a758f6c1cdc7b36dcc5",

"_GID" : "0",

"MESSAGE" : "Starting ufw.service - Uncomplicated firewall...",

"CODE_LINE" : "581",

"JOB_TYPE" : "start",

"INVOCATION_ID" : "5ab944087003453394e11deaaa727d03",

"UNIT" : "ufw.service",

"_EXE" : "/usr/lib/systemd/systemd",

"_COMM" : "systemd",

"_SELINUX_CONTEXT" : "unconfined\n",

"PRIORITY" : "6",

"_SYSTEMD_CGROUP" : "/init.scope",

"__CURSOR" : "s=b9f8d362ee0a4ca0a3e29e83dc46367e;i=470df62;b=8856e31050174a55b29e861b11cd5004;m=3b7136;t=6096ee68c6b73;x=6e5bcef9fe7e5e6b"

}

https://askubuntu.com/questions/828223/disable-logging-of-ufw-blocks-in-the-kernel-logs