Jak sprawdzić upadek2banlogs?

Jak sprawdzić upadek2banlogs?
W dzisiejszym poście wyjaśnimy, jak sprawdzić logi Fail2ban. Wyjaśnimy również, jakie są poziomy dziennika i cele dziennika i jak je zmienić.

Notatka: Procedura pokazana tutaj została przetestowana na Ubuntu 20.04. Jednak tę samą procedurę można zastosować w innych rozkładach Linux, które zostały zainstalowane.

Co to jest plik dziennika?

Pliki dziennika są automatycznie generowane pliki przez aplikację lub system operacyjny, które mają zapis zdarzeń. Pliki te śledzą wszystkie zdarzenia połączone z systemem lub aplikacją, które je wygenerowały. Celem plików dziennika jest utrzymanie zapisu tego, co wydarzyło się za sceną, aby jeśli coś się wydarzy, możemy zobaczyć szczegółową listę zdarzeń, które miały miejsce przed problemem. Jest to pierwsza rzecz, którą administratorzy sprawdzają, kiedy napotykają jakikolwiek problem. Większość plików dziennika kończy się .log lub .rozszerzenie TXT.

Plik dziennika Fai2ban

Fail2ban generuje plik dziennika, który rejestruje wszystkie zdarzenia dla prób połączenia. Sama fail2banapplication monitoruje swoje pliki dziennika pod kątem nieudanych prób uwierzytelniania lub podejrzanych działań. Po predefiniowanej liczbie nieudanych prób uwierzytelnienia zakazuje źródłowych adresów IP na określony czas. Dlatego skutecznie zapobiega wtargnięciu, zanim zagrozi systemowi.

Jak sprawdzić plik dziennika Fai2ban?

Możesz znaleźć plik dziennika Fail2ban w /var/log/fail2ban informator. Aby wyświetlić plik dziennika, użyj poniższego polecenia:

$ cat/var/log/fail2ban.dziennik

Jest to dane wyjściowe powyższego polecenia, które pokazuje różne zdarzenia, wraz z datą i godziną występowania.

Jeśli skupimy się na czterech ostatnich liniach w powyższym wyjściu, możemy zobaczyć dwa Znaleziony wpisy, które pokazują dwie próby połączenia za pomocą źródła adresu IP 192.168.72.186. Po trzeciej próbie źródłowy IP został zablokowany, pokazany przez Zakaz wpis (jak Maxretry = 2). Wtedy ostatni wpis jest Unban, co pokazuje, że adres IP został oderwany po 20 sekund (Jak Bantime = 20 sekund).

Poziom dziennika

Poziom dziennika informuje rodzaj i stopień nasilenia zalogowanego zdarzenia. Istnieją różne poziomy dziennika w Fail2ban, są one następujące:

  • Krytyczne (warunki krytyczne; należy natychmiast zbadać)
  • Błąd (kiedy coś idzie nie tak, ale nie krytyczne)
  • Ostrzeżenie (potencjalnie szkodliwe wydarzenia)
  • Zauważ (normalny, ale znaczący stan)
  • Informacje (wiadomości informacyjne i można je zignorować)
  • Debugowanie (wiadomości na poziomie debugowania)

Poziomy dziennika są zdefiniowane w /etc/fail2ban/fail2ban.lokalny. Aby wyświetlić bieżący poziom dziennika, użyj poniższego polecenia:

$ sudo fail2ban-client get loglevel

Poniższe dane wyjściowe pokazuje obecny poziom dziennika Fail2ban Informacje.

Zmieniający poziom dziennika

Aby zmienić poziom dziennika Fail2ban, będziesz musiał edytować jego globalny plik konfiguracyjny. Plik konfiguracyjny fail2ban to Fail2ban.conf pod /etc/fail2ban informator. Sugeruje się jednak, aby nie edytować tego pliku bezpośrednio. Zamiast tego, jeśli chcesz wprowadzić jakiekolwiek zmiany konfiguracyjne, utwórz Fail2ban.lokalny plik.

1. Jeśli już utworzyłeś Fail2ban.plik lokalny, a następnie możesz zostawić ten krok. Tworzyć Fail2ban.lokalny Plik za pomocą tego polecenia w terminalu:

$ sudo cp/etc/fail2ban/fail2ban.conf/etc/fail2ban/fail2ban.lokalny

2. Edytować Fail2ban.lokalny Plik za pomocą poniższego polecenia w terminalu:

$ sudo nano/etc/fail2ban/fail2ban.lokalny

3. Teraz znajdź Loglevel Wpis w Fail2ban.lokalny Plik (możesz użyć Ctrl+W, aby znaleźć dowolny wpis w edytorze Nano). Następnie zmień wpis poziomu dziennika na żądany poziom dziennika. Na przykład, aby ustawić poziom dziennika na KRYTYCZNY, Zmień jego wartość:

loglevel = krytyczny

Następnie zapisz i wyjdź Fail2ban.lokalny plik.

4. Uruchom ponownie awarie2banservice w następujący sposób:

$ sudo systemCtl restart fail2ban

5. Teraz, aby potwierdzić, czy poziom dziennika zmienił się na żądany poziom, użyj poniższego polecenia:

$ sudo fail2ban-client get loglevel

Target log

W logowaniu Fail2ban możesz wybrać, gdzie wysłać dzienniki. Celem dziennika może być dowolny plik, stdout, stderr lub syslog. Jednak możesz określić tylko jeden cel dziennika. Domyślnie, z upadłem2banlogs, wszystkie zdarzenia rejestrowania są w /var/log/fail2ban.dziennik plik. Aby znaleźć bieżący cel dziennika, użyj poniższego polecenia:

$ sudo fail2ban-client get logTarget

Poniższe wyjście pokazuje, że bieżącym celem dziennika to /var/log/fail2ban.dziennik plik.

Zmiana celu dziennika

Cel dziennika zazwyczaj nie musi być modyfikowany. Jeśli jednak musisz to zmodyfikować, możesz to zrobić w następujący sposób:

1. Aby zmienić cel dziennika, edytuj Fail2ban.lokalny Korzystanie z polecenia poniżej w terminalu.

$ sudo nano/etc/fail2ban/fail2ban.lokalny

Jeśli Fail2ban.lokalny plik nie jest tworzony, możesz go utworzyć, jak pokazano w poprzednim Zmieniający poziom dziennika Sekcja.

2. Teraz znajdź logTarget Wpis w Fail2ban.lokalny plik. Możesz użyć ctrl+w, aby znaleźć dowolny wpis w nano edytorze.

3. Zmienić logTarget Wejście do pożądanego celu, który może być dowolnym plikiem, takim jak stdout, stderr lub syslog. Następnie zapisz i wyjdź Fail2ban.lokalny plik.

4. Uruchom ponownie awarie2banservice w następujący sposób:

$ sudo systemCtl restart fail2ban

5. Po zmianie celu dziennika możesz go potwierdzić za pomocą poniższego polecenia:

$ sudo fail2ban-client get logTarget

Wyjście powinno teraz pokazać nowy cel dziennika.

W tym poście nauczyłeś się sprawdzać dzienniki Fail2ban. Dowiedziałeś się również o poziomach logarytmicznych i celach logarytmicznych Upad2ban oraz o tym, jak je zmienić, jeśli kiedykolwiek potrzebujesz.