dmesg充满防火墙日志

在我的iptables中，我有一条记录被丢弃的数据包的规则：

-A INPUT -i eth0       -j   LOG  --log-prefix "FW: " --log-level 7
-A INPUT -i eth0       -j   DROP

在这方面/etc/rsyslog.conf，我还有另一个规则将这些日志发送到专用文件/var/log/firewall.log。

:msg, contains, "FW: "                    -/var/log/firewall.log
& ~

将& ~立即删除日志，因此它们不会淹没syslog或其他日志文件。

这很好，除了它会泛滥dmesg那些防火墙日志（而不是/var/log/dmesgcommand的输出dmesg）。

有没有办法防止这些日志显示在dmesg？

您可以使用NFLOG目标代替LOG：

NFLOG
    This target provides logging of matching packets. When this  target  is  set  for  a
    rule, the Linux kernel will pass the packet to the loaded logging backend to log the
    packet. This is usually used in combination with nfnetlink_log as  logging  backend,
    which  will multicast the packet through a netlink socket to the specified multicast
    group. One or more userspace processes may subscribe to the  group  to  receive  the
    packets.  Like  LOG, this is a non-terminating target, i.e. rule traversal continues
    at the next rule.

您只需要一个nfnetlink_log功能强大的日志记录程序。消息将到达那里，并且用户空间进程将决定是否记录该数据包。

您还可以尝试将LOG规则限制为特定阈值：

-A INPUT -i eth0 -m limit --limit 10/minutes -j LOG --log-prefix "FW: " --log-level 7
-A INPUT -i eth0 -j DROP

平均每分钟将记录10个数据包。您当然可以根据需要进行调整。

它可能与您在iptables中使用的日志级别有关。据我从rsyslog文档的日志级别了解，“优先级是以下关键字之一，以升序排列：debug，info，notice，warning，warn（与警告相同），err，error（与err相同），暴击，机敏，紧急状态，恐慌（与紧急状态相同）。” 尝试使用其名称即“ notice”在iptables中指定日志级别。好吧，我可以不经检查就正确发布，因为我现在认为这根本不是问题。我实施了与上面概述的方案类似的方案，但遇到了同样的问题。我的centos 7内核是v3.10.0，显然从v3.5开始，内核日志似乎是使用/ dev / kmsg完成的，并且我认为dmesg会以某种方式从那里获取输入。

使用以下命令将日志级别设置为7：

-A INPUT -i eth0       -j   LOG  --log-prefix "FW: " --log-level 7

然后，您可以通过将级别阈值传递给dmesg来简单地过滤掉这些消息：

dmesg --level=err,warn

你为什么在乎？dmesg是打印最近的内核消息的低级工具，您确实要求内核记录丢弃的数据包。

配置系统的syslog系统，以将iptables消息记录在与其他内核消息不同的日志文件中，并使用它编写的日志文件代替dmesg。