So überprüfen Sie Fail2Banlogs?

So überprüfen Sie Fail2Banlogs?
In der heutigen Post werden wir erklären, wie man Fail2ban -Protokolle überprüfen. Wir werden auch erklären, was die Protokollebene und Protokollziele sind und wie wir sie ändern können.

Notiz: Das hier gezeigte Verfahren wurde auf Ubuntu 20 getestet.04. Das gleiche Verfahren kann jedoch in anderen Linux -Verteilungen befolgt werden, die fehlgeschlagen sind2ban installiert sind.

Was ist eine Protokolldatei?

Protokolldateien werden automatisch von einer Anwendung oder einem Betriebssystem generiert, die eine Aufzeichnung von Ereignissen haben. Diese Dateien verfolgen alle mit dem System oder der Anwendung verknüpften Ereignisse, die sie generiert haben. Der Zweck von Protokolldateien ist es, eine Aufzeichnung dessen zu erhalten, was hinter der Szene passiert ist, damit wir, wenn etwas auftritt, eine detaillierte Liste der Ereignisse sehen, die vor dem Problem passiert sind. Es ist das erste, was Administratoren überprüfen, wenn sie auf ein Problem stoßen. Die meisten Protokolldatei endet mit .Protokoll oder .TXT -Erweiterung.

Fail2ban -Protokolldatei

Fail2ban generiert eine Protokolldatei, in der alle Ereignisse für Verbindungsversuche aufgezeichnet werden. Die Fail2BanApplication selbst überwacht seine Protokolldateien für fehlgeschlagene Authentifizierungsversuche oder verdächtige Aktivitäten. Nach einer vordefinierten Anzahl fehlgeschlagener Authentifizierungsversuche verbietet sie die Quell -IP -Adressen für eine bestimmte Zeitspanne. Daher ist es wirksam, ein Eingriff zu verhindern, bevor es Ihr System beeinträchtigt.

So überprüfen Sie die Fail2ban -Protokolldatei?

Sie finden die fail2ban -Protokolldatei an der /var/log/fail2ban Verzeichnis. Verwenden Sie zum Anzeigen der Protokolldatei den folgenden Befehl:

$ cat/var/log/fail2ban.Protokoll

Dies ist die Ausgabe des obigen Befehls, der verschiedene Ereignisse sowie Datum und Uhrzeit des Vorkommens anzeigt.

Wenn wir uns auf die letzten vier Zeilen der obigen Ausgabe konzentrieren, können wir zwei sehen Gefunden Einträge, die zwei Verbindungsversuche einer Quell -IP -Adresse anzeigen 192.168.72.186. Nach dem dritten Versuch wurde die Quell -IP blockiert, die durch die gezeigt wurde Verbot Eintrag (as maxretry = 2). Dann ist der letzte Eintrag Ungebran, Dies zeigt, dass die IP -Adresse danach ungebannt wurde 20 Sekunden (als Bantime = 20 Sekunden).

Protokollebene

Die Protokollebene gibt den Typ und den Schweregrad eines protokollierten Ereignisses an. In fail2ban gibt es unterschiedliche Protokollebenen. Diese sind wie folgt:

  • Kritische (kritische Bedingungen; sollten sofort untersucht werden)
  • Fehler (wenn etwas schief geht, aber nicht kritisch)
  • Warnung (potenziell schädliche Ereignisse)
  • HINWEIS (normale, aber signifikante Bedingung)
  • Info (Informationsnachrichten und können ignoriert werden)
  • Debugg (Nachrichten auf Debug-Ebene)

Protokollebenen sind in der definiert /etc/fail2ban/fail2ban.lokal. Verwenden Sie den folgenden Befehl, um die aktuelle Protokollebene anzuzeigen:

$ sudo fail2ban-Client Get loglevel

Die folgende Ausgabe zeigt die aktuelle Protokollebene von fail2ban ist DIE INFO.

Protokollebene ändern

Um die Protokollebene von fail2ban zu ändern, müssen Sie seine globale Konfigurationsdatei bearbeiten. Fail2ban -Konfigurationsdatei ist fail2ban.Conf unter dem /etc/fail2ban Verzeichnis. Es wird jedoch empfohlen, diese Datei nicht direkt zu bearbeiten. Wenn Sie stattdessen Konfigurationsänderungen vornehmen müssen, können Sie stattdessen erstellen fail2ban.lokal Datei.

1. Wenn Sie bereits das Fail2ban erstellt haben.Lokale Datei, dann können Sie diesen Schritt verlassen. Erstellen fail2ban.lokal Datei mit diesem Befehl im Terminal:

$ sudo cp/etc/fail2ban/fail2ban.conf/etc/fail2ban/fail2ban.lokal

2. Bearbeiten fail2ban.lokal Datei mit dem folgenden Befehl im Terminal:

$ sudo nano/etc/fail2ban/fail2ban.lokal

3. Jetzt finden Sie die Loglevel Eintritt in die fail2ban.lokal Datei (Sie können mit dem Strg+W einen Eintrag im Nano -Editor finden). Ändern Sie dann den Eintrag der Protokollebene in die gewünschte Protokollebene. Zum Beispiel, um die Protokollebene auf festzulegen KRITISCH, Ändern Sie seinen Wert:

loglevel = kritisch

Dann speichern und verlassen Sie die fail2ban.lokal Datei.

4. Starten Sie den Fail2BanService wie folgt neu:

$ sudo systemctl restart fail2ban

5. Um zu bestätigen, ob sich die Protokollebene in die gewünschte Ebene geändert hat, verwenden Sie den folgenden Befehl:

$ sudo fail2ban-Client Get loglevel

Protokollziel

In Fail2ban -Protokollierung können Sie auswählen, wohin die Protokolle gesendet werden sollen. Ein Protokollziel kann jede Datei, Stdout, Stderr oder Syslog sein. Sie können jedoch nur ein Protokollziel angeben. Standardmäßig sind alle Protokollierungsereignisse mit fail2banlogs in a /var/log/fail2ban.Protokoll Datei. Um das aktuelle Protokollziel zu finden, verwenden Sie den folgenden Befehl:

$ sudo fail2ban-client erhalten Sie logTarget

Die folgende Ausgabe zeigt das aktuelle Protokollziel a /var/log/fail2ban.Protokoll Datei.

Protokollziel ändern

Das Protokollziel muss normalerweise nicht geändert werden. Falls Sie es jedoch ändern müssen, können Sie dies wie folgt tun:

1. Um das Protokollziel zu ändern, bearbeiten Sie die fail2ban.lokal Verwenden Sie den folgenden Befehl im Terminal.

$ sudo nano/etc/fail2ban/fail2ban.lokal

Wenn fail2ban.lokal Die Datei wird nicht erstellt, Sie können sie erstellen, wie im vorherigen gezeigt Protokollebene ändern Abschnitt.

2. Jetzt finden Sie die logTarget Eintritt in die fail2ban.lokal Datei. Sie können das Strg+W verwenden, um einen Eintrag im Nano -Editor zu finden.

3. Ändere das logTarget Eintritt in das gewünschte Ziel, bei dem es sich um eine Datei wie STDOut, Stderr oder Syslog handelt. Dann speichern und beenden Sie die fail2ban.lokal Datei.

4. Starten Sie den Fail2BanService wie folgt neu:

$ sudo systemctl restart fail2ban

5. Nachdem Sie das Protokollziel geändert haben, können Sie es mit dem folgenden Befehl bestätigen:

$ sudo fail2ban-client erhalten Sie logTarget

Die Ausgabe sollte nun das neue Protokollziel anzeigen.

In diesem Beitrag haben Sie gelernt, wie man Fail2ban -Protokolle überprüfen. Sie haben auch etwas über Fail2ban -Protokollebene und Protokollziele gelernt und wie Sie sie ändern, wenn Sie dies jemals tun müssen.