Поиск по сайту:
Сначала надо ввязаться в серьезный бой, а там уже видно будет (Наполеон I).

Как проверить Fail2banLogs?

14.05.2021
Установка Fail2ban на CentOS

В сегодняшнем посте мы собираемся объяснить, как проверять логи Fail2ban. Мы также объясним, каковы уровни журналов и целевые значения журналов, и как мы можем их изменить.

Примечание
Показанная здесь процедура была протестирована на Ubuntu 20.04. Однако эту же процедуру можно выполнить и в других дистрибутивах Linux, в которых установлен Fail2ban.

 

Что такое файл журнала?

Файлы журнала – это файлы, автоматически генерируемые приложением или ОС, в которых есть запись событий. Эти файлы отслеживают все события, связанные с системой или приложением, которые их сгенерировали. Файлы журнала предназначены для записи того, что происходило за кулисами, чтобы, если что-то произошло, мы могли увидеть подробный список событий, которые произошли до возникновения проблемы. Это первое, что проверяют администраторы, когда они сталкиваются с какой-либо проблемой. Большинство файлов журнала имеют расширение .log или .txt.

 

Файл журнала Fail2ban

Fail2ban создает файл журнала, в котором записываются все события попыток подключения. Само приложение Fail2bana отслеживает свои файлы журналов на предмет неудачных попыток аутентификации или любых подозрительных действий. После заранее определенного количества неудачных попыток аутентификации он блокирует исходные IP-адреса на определенное время. Следовательно, он эффективно предотвращает вторжение до того, как он скомпрометирует вашу систему.

 

Как проверить файл журнала Fail2ban?

Вы можете найти файл журнала Fail2ban в каталоге /var/log/fail2ban. Чтобы просмотреть файл журнала, используйте следующую команду:

$ cat /var/log/fail2ban.log

Это результат выполнения приведенной выше команды, который показывает различные события, а также дату и время их возникновения.

Читать  Как создать сервер для 7 Days to Die в Ubuntu 20.04

Если мы сосредоточимся на последних четырех строках вышеприведенного вывода, мы увидим две записи «Найдено», которые показывают две попытки подключения с исходным IP-адресом 192.168.72.186. После третьей попытки исходный IP-адрес был заблокирован, что показано записью Ban (как maxretry = 2 ). Затем последняя запись – Unban, которая показывает, что IP-адрес был разблокирован через 20 секунд (как bantime = 20sec ).

 

Уровень журнала

Уровень журнала сообщает тип и степень серьезности зарегистрированного события. В Fail2ban есть разные уровни журнала, это следующие:

  • CRITICAL (критические состояния; следует немедленно расследовать)
  • ERROR(когда что-то идет не так, но не критично)
  • WARNING (потенциально опасные события)
  • NOTICE (нормальное, но серьезное состояние)
  • INFO (информационные сообщения, которые можно игнорировать)
  • DEBUG (сообщения уровня отладки)

Уровни журналов определены в /etc/fail2ban/fail2ban.local. Чтобы просмотреть текущий уровень журнала, используйте команду ниже:

$ sudo fail2ban-client get loglevel

Следующий вывод показывает, что текущий уровень журнала Fail2ban – INFO.

 

Изменение уровня журнала

Чтобы изменить уровень журнала Fail2ban, вам нужно будет отредактировать его глобальный файл конфигурации. Fail2ban файл конфигурации fail2ban.conf в каталог /etc/fail2ban. Однако рекомендуется не редактировать этот файл напрямую. Вместо этого, если вам нужно внести какие-либо изменения в конфигурацию, создайте файл fail2ban.local.

1. Если вы уже создали файл fail2ban.local, вы можете оставить этот шаг. Создайте файл fail2ban.local с помощью этой команды в Терминале:

$ sudo cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

2. Отредактируйте файл fail2ban.local, используя следующую команду в Терминале:

$ sudo nano /etc/fail2ban/fail2ban.local

3. Теперь найти LogLevel запись в fail2ban.local файле (вы можете использовать Ctrl + W, чтобы найти любую запись в редакторе Nano). Затем измените запись уровня журнала на желаемый уровень журнала. Например, чтобы установить уровень журнала на CRITICAL, измените его значение:

loglevel = CRITICAL

Затем сохраните и выйдите из файла fail2ban.local.

Читать  Как установить Docker на Ubuntu 20.04

4. Перезапустите Fail2banservice следующим образом:

$ sudo systemctl restart fail2ban

 

5. Теперь, чтобы убедиться, что уровень журнала изменился на желаемый, используйте команду ниже:

$ sudo fail2ban-client get loglevel

Цель журнала

В журнале Fail2ban вы можете выбрать, куда отправлять журналы. Целью журнала может быть любой файл, STDOUT, STDERR или SYSLOG. Однако вы можете указать только одну цель журнала. По умолчанию в Fail2banlogs все события журналирования находятся в файле /var/log/fail2ban.log. Чтобы найти текущую цель журнала, используйте команду ниже:

$ sudo fail2ban-client get logtarget

 

Изменение цели журнала

Целевой объект журнала обычно не нужно изменять. Однако, если вам нужно изменить его, вы можете сделать это следующим образом:

1. Чтобы изменить цель журнала, отредактируйте файл fail2ban.local с помощью приведенной ниже команды в Терминале.

$ sudo nano /etc/fail2ban/fail2ban.local

Если файл fail2ban.local не создан, вы можете создать его, как показано в предыдущем разделе «Изменение уровня журнала».

2. Теперь найдите LOGTARGET запись в файле fail2ban.local. Вы можете использовать Ctrl + w, чтобы найти любую запись в редакторе Nano.

3. Измените запись logtarget на желаемую цель, которой может быть любой файл, например STDOUT, STDERR или SYSLOG. Затем сохраните и выйдите из файла fail2ban.local.

4. Перезапустите Fail2banservice следующим образом:

$ sudo systemctl restart fail2ban

 

5. После изменения цели журнала вы можете подтвердить ее, используя следующую команду:

$ sudo fail2ban-client get logtarget

Теперь в выходных данных должна отображаться новая цель журнала.

В этом посте вы узнали, как проверять журналы Fail2ban. Вы также узнали об уровнях журнала Fail2ban и целях журнала, а также о том, как их изменить, если вам когда-либо понадобится.

Читать  Как изменить время бана fail2ban, при желании даже банить навсегда

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...
Поделиться в соц. сетях:


0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

**ссылки nofollow

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно


Рекомендуемое
Документация очень полезна для любого типа программирования. Это помогает нам легко…

Спасибо!

Теперь редакторы в курсе.