Ubuntu防火墙如何启用日志记录

Ubuntu防火墙（UFW）启用日志记录的步骤与说明

1. 确认UFW是否已安装

Ubuntu系统通常默认安装UFW（Uncomplicated Firewall），若未安装可通过以下命令安装：

sudo apt update && sudo apt install ufw

2. 启用UFW防火墙（若未启用）

日志记录需基于激活的防火墙，使用以下命令启用UFW：

sudo ufw enable

启用后会提示“Firewall is active and enabled on system startup”（防火墙已激活并在系统启动时自动启用）。

3. 启用日志记录

通过ufw logging命令开启日志功能，默认日志级别为low（平衡安全与性能）：

sudo ufw logging on

执行后可通过sudo ufw status verbose验证日志状态，若显示“Logging: on”则表示启用成功。

4. 设置日志级别（可选）

UFW支持5种日志级别，按详细程度递增排序：

• off：关闭日志记录（默认禁用，无需手动设置）。
• low（默认）：记录与默认策略冲突的被阻止数据包（速率限制），以及符合规则的关键事件（如允许/拒绝的连接）。
• medium：在low基础上，增加无效数据包、新连接及通过速率限制的允许流量的日志（如UDP允许连接）。
• high：在medium基础上，取消速率限制，记录所有允许/拒绝的ICMP流量（如ping请求）。
• full：最高级别，无速率限制，记录几乎所有经过防火墙的流量事件（适合深度调试，但会产生大量日志）。

设置命令示例（如设置为medium）：

sudo ufw logging medium

5. 查看日志文件

UFW日志默认存储在/var/log/ufw.log，可使用以下命令实时查看最新日志：

sudo tail -f /var/log/ufw.log

或使用less命令查看完整日志：

sudo less /var/log/ufw.log

日志内容关键字段说明：

• [UFW BLOCK]/[UFW ALLOW]：表示数据包被阻止或允许。
• SRC：源IP地址（发起连接的设备）。
• DST：目标IP地址（本机IP）。
• SPT：源端口（发起连接的端口）。
• DPT：目标端口（本机开放的端口）。
• PROTO：协议类型（如TCP、UDP）。

注意事项

• 高级别日志（如high、full）会产生大量日志数据，可能占用磁盘空间并影响系统性能，建议仅在故障排查时临时启用。
• 日志文件权限为root所有，普通用户需用sudo权限查看。
• 若日志未生成，可检查UFW是否激活（sudo ufw status）及日志级别是否设置为low及以上。