Notatka: Procedura pokazana tutaj została przetestowana na Ubuntu 20.04. Jednak tę samą procedurę można zastosować w innych rozkładach Linux, które zostały zainstalowane.
Co to jest plik dziennika?
Pliki dziennika są automatycznie generowane pliki przez aplikację lub system operacyjny, które mają zapis zdarzeń. Pliki te śledzą wszystkie zdarzenia połączone z systemem lub aplikacją, które je wygenerowały. Celem plików dziennika jest utrzymanie zapisu tego, co wydarzyło się za sceną, aby jeśli coś się wydarzy, możemy zobaczyć szczegółową listę zdarzeń, które miały miejsce przed problemem. Jest to pierwsza rzecz, którą administratorzy sprawdzają, kiedy napotykają jakikolwiek problem. Większość plików dziennika kończy się .log lub .rozszerzenie TXT.
Plik dziennika Fai2ban
Fail2ban generuje plik dziennika, który rejestruje wszystkie zdarzenia dla prób połączenia. Sama fail2banapplication monitoruje swoje pliki dziennika pod kątem nieudanych prób uwierzytelniania lub podejrzanych działań. Po predefiniowanej liczbie nieudanych prób uwierzytelnienia zakazuje źródłowych adresów IP na określony czas. Dlatego skutecznie zapobiega wtargnięciu, zanim zagrozi systemowi.
Jak sprawdzić plik dziennika Fai2ban?
Możesz znaleźć plik dziennika Fail2ban w /var/log/fail2ban informator. Aby wyświetlić plik dziennika, użyj poniższego polecenia:
$ cat/var/log/fail2ban.dziennik
Jest to dane wyjściowe powyższego polecenia, które pokazuje różne zdarzenia, wraz z datą i godziną występowania.
Jeśli skupimy się na czterech ostatnich liniach w powyższym wyjściu, możemy zobaczyć dwa Znaleziony wpisy, które pokazują dwie próby połączenia za pomocą źródła adresu IP 192.168.72.186. Po trzeciej próbie źródłowy IP został zablokowany, pokazany przez Zakaz wpis (jak Maxretry = 2). Wtedy ostatni wpis jest Unban, co pokazuje, że adres IP został oderwany po 20 sekund (Jak Bantime = 20 sekund).
Poziom dziennika
Poziom dziennika informuje rodzaj i stopień nasilenia zalogowanego zdarzenia. Istnieją różne poziomy dziennika w Fail2ban, są one następujące:
Poziomy dziennika są zdefiniowane w /etc/fail2ban/fail2ban.lokalny. Aby wyświetlić bieżący poziom dziennika, użyj poniższego polecenia:
$ sudo fail2ban-client get loglevel
Poniższe dane wyjściowe pokazuje obecny poziom dziennika Fail2ban Informacje.
Zmieniający poziom dziennika
Aby zmienić poziom dziennika Fail2ban, będziesz musiał edytować jego globalny plik konfiguracyjny. Plik konfiguracyjny fail2ban to Fail2ban.conf pod /etc/fail2ban informator. Sugeruje się jednak, aby nie edytować tego pliku bezpośrednio. Zamiast tego, jeśli chcesz wprowadzić jakiekolwiek zmiany konfiguracyjne, utwórz Fail2ban.lokalny plik.
1. Jeśli już utworzyłeś Fail2ban.plik lokalny, a następnie możesz zostawić ten krok. Tworzyć Fail2ban.lokalny Plik za pomocą tego polecenia w terminalu:
$ sudo cp/etc/fail2ban/fail2ban.conf/etc/fail2ban/fail2ban.lokalny
2. Edytować Fail2ban.lokalny Plik za pomocą poniższego polecenia w terminalu:
$ sudo nano/etc/fail2ban/fail2ban.lokalny
3. Teraz znajdź Loglevel Wpis w Fail2ban.lokalny Plik (możesz użyć Ctrl+W, aby znaleźć dowolny wpis w edytorze Nano). Następnie zmień wpis poziomu dziennika na żądany poziom dziennika. Na przykład, aby ustawić poziom dziennika na KRYTYCZNY, Zmień jego wartość:
loglevel = krytyczny
Następnie zapisz i wyjdź Fail2ban.lokalny plik.
4. Uruchom ponownie awarie2banservice w następujący sposób:
$ sudo systemCtl restart fail2ban
5. Teraz, aby potwierdzić, czy poziom dziennika zmienił się na żądany poziom, użyj poniższego polecenia:
$ sudo fail2ban-client get loglevel
Target log
W logowaniu Fail2ban możesz wybrać, gdzie wysłać dzienniki. Celem dziennika może być dowolny plik, stdout, stderr lub syslog. Jednak możesz określić tylko jeden cel dziennika. Domyślnie, z upadłem2banlogs, wszystkie zdarzenia rejestrowania są w /var/log/fail2ban.dziennik plik. Aby znaleźć bieżący cel dziennika, użyj poniższego polecenia:
$ sudo fail2ban-client get logTarget
Poniższe wyjście pokazuje, że bieżącym celem dziennika to /var/log/fail2ban.dziennik plik.
Zmiana celu dziennika
Cel dziennika zazwyczaj nie musi być modyfikowany. Jeśli jednak musisz to zmodyfikować, możesz to zrobić w następujący sposób:
1. Aby zmienić cel dziennika, edytuj Fail2ban.lokalny Korzystanie z polecenia poniżej w terminalu.
$ sudo nano/etc/fail2ban/fail2ban.lokalny
Jeśli Fail2ban.lokalny plik nie jest tworzony, możesz go utworzyć, jak pokazano w poprzednim Zmieniający poziom dziennika Sekcja.
2. Teraz znajdź logTarget Wpis w Fail2ban.lokalny plik. Możesz użyć ctrl+w, aby znaleźć dowolny wpis w nano edytorze.
3. Zmienić logTarget Wejście do pożądanego celu, który może być dowolnym plikiem, takim jak stdout, stderr lub syslog. Następnie zapisz i wyjdź Fail2ban.lokalny plik.
4. Uruchom ponownie awarie2banservice w następujący sposób:
$ sudo systemCtl restart fail2ban
5. Po zmianie celu dziennika możesz go potwierdzić za pomocą poniższego polecenia:
$ sudo fail2ban-client get logTarget
Wyjście powinno teraz pokazać nowy cel dziennika.
W tym poście nauczyłeś się sprawdzać dzienniki Fail2ban. Dowiedziałeś się również o poziomach logarytmicznych i celach logarytmicznych Upad2ban oraz o tym, jak je zmienić, jeśli kiedykolwiek potrzebujesz.