如何查看和管理Linux系统的防火墙日志?
美国、香港服务器
如何查看和管理Linux系统的防火墙日志?
06-03 来源:
Ubuntu20 UFW 防火墙日志查看 + 全套管理(适配你的系统,可直接复制命令)
Ubuntu 默认使用UFW,底层依赖 Netfilter (iptables),日志分UFW 专属日志 / 内核日志两块,下面分:开启日志→查看→筛选分析→日志轮转防爆满→单独归档日志。
一、开启 UFW 日志(必做,默认 low 记录简略)
bash
运行
# medium:生产推荐,记录放行+拦截,性能适中
sudo ufw logging medium
# 可选:low(极简)/high(详细)/full(全量包,耗磁盘)
# sudo ufw logging high
# 查看日志配置状态
sudo ufw status verbose
日志路径:/var/log/ufw.log(UFW 专属);内核 iptables 杂日志:/var/log/kern.log、/var/log/syslog
二、日常查看日志命令
1. 实时盯防火墙流量(排查端口不通、扫描攻击首选)
bash
运行
# 实时刷新UFW日志
tail -f /var/log/ufw.log
# 实时只看拦截记录
tail -f /var/log/ufw.log | grep "UFW BLOCK"
# 实时只看放行记录
tail -f /var/log/ufw.log | grep "UFW ALLOW"
2. 按时间、端口、IP 筛选日志(运维高频)
bash
运行
# 1、查看今日所有拦截日志
grep "$(date +%b\ %d)" /var/log/ufw.log | grep BLOCK
# 2、筛选22端口SSH爆破记录(DPT=目标端口)
grep "DPT=22" /var/log/ufw.log | grep BLOCK
# 3、统计高频扫描IP(找出恶意IP拉黑)
awk "/UFW BLOCK/{print $12}" /var/log/ufw.log |sort|uniq -c|sort -nr|head -20
# 4、查某个源IP所有访问记录(替换x.x.x.x)
grep "SRC=x.x.x.x" /var/log/ufw.log
3. 查看历史归档日志
UFW 自动轮转旧日志:ufw.log.1、ufw.log.2.gz(压缩包用 zcat)
bash
运行
# 查看压缩历史日志
zcat /var/log/ufw.log.2.gz | grep BLOCK
三、底层 iptables 内核日志(UFW 底层依赖,备用查看)
bash
运行
# 内核防火墙原始日志
tail -f /var/log/kern.log | grep -E "UFW|IN=|OUT="
# 系统混合日志
tail -f /var/log/syslog | grep UFW
四、日志生命周期管理(防止日志塞满磁盘,logrotate)
1. 查看默认轮转配置
bash
运行
cat /etc/logrotate.d/ufw
默认配置:周轮转、保留 4 周、自动压缩。
2. 自定义日志保存规则(推荐:每日轮转、留存 30 天)
bash
运行
sudo nano /etc/logrotate.d/ufw
替换内容:
plaintext
/var/log/ufw.log {
daily
rotate 30
compress
delaycompress
missingok
notifempty
postrotate
/usr/lib/rsyslog/rsyslog-rotate
endscript
}
daily:每天切割日志;rotate30:保留 30 天日志;compress:旧日志压缩
3. 手动测试轮转(立即生效)
bash
运行
sudo logrotate -d /etc/logrotate.d/ufw #预览
sudo logrotate -f /etc/logrotate.d/ufw #强制切割
五、进阶:UFW 日志单独归档(分离系统日志,便于备份)
bash
运行
#新建rsyslog配置,UFW日志只写入ufw.log,不混入syslog
sudo tee /etc/rsyslog.d/20-ufw.conf >/dev/null <
:msg, contains, "UFW" /var/log/ufw.log
& stop
EOF
#重启日志服务
sudo systemctl restart rsyslog
六、实用运维小技巧
发现大量 BLOCK 同一 IP → 拉黑 IP
bash
运行
sudo ufw deny from x.x.x.x
日志过大临时清空(不删文件避免系统异常)
bash
运行
sudo truncate -s 0 /var/log/ufw.log
长期安全:日志同步到远端服务器
在 rsyslog 配置添加远端 IP,实现日志异地备份防篡改。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
上一篇:如何查看ufw专属日志? 下一篇:如何设置防火墙的日志记录?
