UFW por defecto loguea los bloqueos en el archivo syslog. Para hacer que loguee en otro archivo que queramos en lugar de syslog, crearemos el archivo /etc/rsyslog.d/20-ufw.conf y dentro escribiremos lo siguiente:
# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log
# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
& ~
:msg,contains,"[UFW " /var/log/ufw.log
# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
& ~
Si queremos que los logs se roten para que no ocupen tanto, crearemos el archivo /etc/logrotate.d/ufw con el siguiente contenido:
/var/log/ufw.log
{
rotate 7
daily
missingok
notifempty
delaycompress
compress
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}
{
rotate 7
daily
missingok
notifempty
delaycompress
compress
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}
Fuente: http://vincom2.wordpress.com/2010/04/07/logging-ufw-to-a-seperate-logfile/