Logcheck в настоящее время отправляет множество электронных писем с такими сообщениями
Jun 6 19:31:44 <hostname> kernel: [UFW BLOCK] IN=eth0 OUT= MAC=<mac-address> SRC=<source-ip> DST=<destination-ip> LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=28729 DF PROTO=TCP SPT=56681 DPT=80 WINDOW=16652 RES=0x00 ACK FIN URGP=0
Согласно этому Вопросы и ответы этот пакет заблокирован, потому что он необязательный.
Разумно ли иметь следующие /etc/logcheck/ignore.d.server/ufw
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel: \[UFW BLOCK\].*ACK FIN.*
По моему личному мнению, logcheck бесполезен и должен быть отключен (отношение сигнал / шум настолько низкое, а работа, необходимая для его отключения, настолько обширна, что лучше просто убить его).
Если вы не разделяете этого мнения, то можете игнорировать все сообщения ufw.
(Ваш шаблон игнорирования, безусловно, кажется мне разумным.)
Вам не нужно быть уведомлен что ваш брандмауэр пропускает трафик.
Если у вас возникли проблемы с сетевым подключением, вы должны быть достаточно сообразительными, чтобы самостоятельно просматривать журналы межсетевого экрана. Помимо этого, вы должны тестировать свой брандмауэр при его настройке, чтобы убедиться, что он разрешает то, что вы ему разрешаете, и отбрасывает все остальное. Мониторинг его журналов после этого действительно излишне.
Ваша проблема здесь, вероятно, не в logcheck, а в том, что у вас вообще включено ведение журнала в ufw (отключите его с помощью sudo ufw logging off ).
Я думаю, что наиболее целесообразно включить вход при отладке (например, во время начальной настройки ufw и если вы столкнулись с проблемой), а затем отключать его в любое другое время для повышения производительности и простоты. Так что это вообще не проблема с logcheck, просто проблема с включенным журналом определенного типа.