В сегодняшнем посте мы собираемся объяснить, как проверять логи Fail2ban. Мы также объясним, каковы уровни журналов и целевые значения журналов, и как мы можем их изменить.
Что такое файл журнала?
Файлы журнала – это файлы, автоматически генерируемые приложением или ОС, в которых есть запись событий. Эти файлы отслеживают все события, связанные с системой или приложением, которые их сгенерировали. Файлы журнала предназначены для записи того, что происходило за кулисами, чтобы, если что-то произошло, мы могли увидеть подробный список событий, которые произошли до возникновения проблемы. Это первое, что проверяют администраторы, когда они сталкиваются с какой-либо проблемой. Большинство файлов журнала имеют расширение .log или .txt.
Файл журнала Fail2ban
Fail2ban создает файл журнала, в котором записываются все события попыток подключения. Само приложение Fail2bana отслеживает свои файлы журналов на предмет неудачных попыток аутентификации или любых подозрительных действий. После заранее определенного количества неудачных попыток аутентификации он блокирует исходные IP-адреса на определенное время. Следовательно, он эффективно предотвращает вторжение до того, как он скомпрометирует вашу систему.
Как проверить файл журнала Fail2ban?
Вы можете найти файл журнала Fail2ban в каталоге /var/log/fail2ban. Чтобы просмотреть файл журнала, используйте следующую команду:
$ cat /var/log/fail2ban.log
Это результат выполнения приведенной выше команды, который показывает различные события, а также дату и время их возникновения.
Если мы сосредоточимся на последних четырех строках вышеприведенного вывода, мы увидим две записи «Найдено», которые показывают две попытки подключения с исходным IP-адресом 192.168.72.186. После третьей попытки исходный IP-адрес был заблокирован, что показано записью Ban (как maxretry = 2 ). Затем последняя запись – Unban, которая показывает, что IP-адрес был разблокирован через 20 секунд (как bantime = 20sec ).
Уровень журнала
Уровень журнала сообщает тип и степень серьезности зарегистрированного события. В Fail2ban есть разные уровни журнала, это следующие:
- CRITICAL (критические состояния; следует немедленно расследовать)
- ERROR(когда что-то идет не так, но не критично)
- WARNING (потенциально опасные события)
- NOTICE (нормальное, но серьезное состояние)
- INFO (информационные сообщения, которые можно игнорировать)
- DEBUG (сообщения уровня отладки)
Уровни журналов определены в /etc/fail2ban/fail2ban.local. Чтобы просмотреть текущий уровень журнала, используйте команду ниже:
$ sudo fail2ban-client get loglevel
Следующий вывод показывает, что текущий уровень журнала Fail2ban – INFO.
Изменение уровня журнала
Чтобы изменить уровень журнала Fail2ban, вам нужно будет отредактировать его глобальный файл конфигурации. Fail2ban файл конфигурации fail2ban.conf в каталог /etc/fail2ban. Однако рекомендуется не редактировать этот файл напрямую. Вместо этого, если вам нужно внести какие-либо изменения в конфигурацию, создайте файл fail2ban.local.
1. Если вы уже создали файл fail2ban.local, вы можете оставить этот шаг. Создайте файл fail2ban.local с помощью этой команды в Терминале:
$ sudo cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local
2. Отредактируйте файл fail2ban.local, используя следующую команду в Терминале:
$ sudo nano /etc/fail2ban/fail2ban.local
3. Теперь найти LogLevel запись в fail2ban.local файле (вы можете использовать Ctrl + W, чтобы найти любую запись в редакторе Nano). Затем измените запись уровня журнала на желаемый уровень журнала. Например, чтобы установить уровень журнала на CRITICAL, измените его значение:
loglevel = CRITICAL
Затем сохраните и выйдите из файла fail2ban.local.
4. Перезапустите Fail2banservice следующим образом:
$ sudo systemctl restart fail2ban
5. Теперь, чтобы убедиться, что уровень журнала изменился на желаемый, используйте команду ниже:
$ sudo fail2ban-client get loglevel
Цель журнала
В журнале Fail2ban вы можете выбрать, куда отправлять журналы. Целью журнала может быть любой файл, STDOUT, STDERR или SYSLOG. Однако вы можете указать только одну цель журнала. По умолчанию в Fail2banlogs все события журналирования находятся в файле /var/log/fail2ban.log. Чтобы найти текущую цель журнала, используйте команду ниже:
$ sudo fail2ban-client get logtarget
Изменение цели журнала
Целевой объект журнала обычно не нужно изменять. Однако, если вам нужно изменить его, вы можете сделать это следующим образом:
1. Чтобы изменить цель журнала, отредактируйте файл fail2ban.local с помощью приведенной ниже команды в Терминале.
$ sudo nano /etc/fail2ban/fail2ban.local
Если файл fail2ban.local не создан, вы можете создать его, как показано в предыдущем разделе «Изменение уровня журнала».
2. Теперь найдите LOGTARGET запись в файле fail2ban.local. Вы можете использовать Ctrl + w, чтобы найти любую запись в редакторе Nano.
3. Измените запись logtarget на желаемую цель, которой может быть любой файл, например STDOUT, STDERR или SYSLOG. Затем сохраните и выйдите из файла fail2ban.local.
4. Перезапустите Fail2banservice следующим образом:
$ sudo systemctl restart fail2ban
5. После изменения цели журнала вы можете подтвердить ее, используя следующую команду:
$ sudo fail2ban-client get logtarget
Теперь в выходных данных должна отображаться новая цель журнала.
В этом посте вы узнали, как проверять журналы Fail2ban. Вы также узнали об уровнях журнала Fail2ban и целях журнала, а также о том, как их изменить, если вам когда-либо понадобится.