我的路由器每四十秒广播一次(发送到224.0.0.1)。 UFW在syslog中存储了一个日志条目:
1月5 03:49:02日志内核:[1184.788900] [UFW BLOCK] IN = eth0 OUT = MAC = 01:00:5e:00:00:01:40:5a:9b:5c:9c:fd:08: 00 SRC = 192.168.1.1 DST = 224.0.0.1 LEN = 32 TOS = 0x00 PREC = 0x80 TTL = 1 ID = 0 DF PROTO = 2
我即将build立一个系统日志服务器,将收集每个networking的50台机器的消息。 每隔四十秒就用50条消息来污染系统日志,这让我非常恼火,而且路由器本身不幸是不可configuration的。
有没有办法阻止这些特定的消息(通过源和目标过滤)被logging,同时仍然logging防火墙阻止的其他条目?
是。
对于rsyslog,你可以使用如下的filter:
:msg,包含“MAC = 01:00:5e:00:00:01:40:5a:9b:5c:9c:fd:08:00 SRC = 192.168.1.1 D ST = 224.0.0.1”
如果将其放在其他configuration规则之前 ,则会阻止logging消息。 你可以在这里看到一个configuration文件的完整例子。
请注意,文本“ 必须完全匹配,不支持通配符。 ”
对于syslog-ng,使用filter的一些变体,在filter中使用not message('someregex') 。
而不是禁用只修复症状的日志logging,您应该调查防火墙触发的原因。 在你的情况下,你的路由器正在发送IGMP数据包,这是IPv4组播工作所必需的(即使你的networking中没有任何组播路由,如果你有任何监听交换机,防火墙IGMP也会中断链路本地组播)。
请检查您是否正在运行任何依赖于IPv4多播的应用程序,并考虑通过防火墙允许协议2。