Come controllare Fail2BanLogs?
Nota: La procedura mostrata qui è stata testata su Ubuntu 20.04. Tuttavia, la stessa procedura può essere seguita in altre distribuzioni Linux che hanno installato Fail2Ban.
Cos'è un file di registro?
I file di registro vengono generati automaticamente da un'applicazione o da un sistema operativo che hanno un record di eventi. Questi file tengono traccia di tutti gli eventi collegati al sistema o all'applicazione che li ha generati. Lo scopo dei file di registro è mantenere un record di ciò che è accaduto dietro la scena in modo che se si verifica qualcosa, possiamo vedere un elenco dettagliato di eventi che si sono verificati prima del problema. È la prima cosa che gli amministratori controllano quando incontrano qualsiasi problema. La maggior parte del file di registro termina con .registro o .estensione txt.
File di registro fail2ban
Fail2Ban genera un file di registro che registra tutti gli eventi per i tentativi di connessione. La stessa fail2BanApplication monitora i suoi file di registro per tentativi di autenticazione non riusciti o eventuali attività sospette. Dopo un numero predefinito di tentativi di autenticazione non riusciti, vieta gli indirizzi IP di origine per un periodo di tempo specifico. Quindi, è efficace nel prevenire l'intrusione prima di compromettere il sistema.
Come controllare il file di registro fail2ban?
È possibile trovare il file di registro Fail2Ban su /var/log/fail2ban directory. Per visualizzare il file di registro, utilizzare il comando di seguito:
$ cat/var/log/fail2ban.tronco d'albero
Questo è l'output del comando sopra che mostra eventi diversi, insieme alla data e all'ora del verificarsi.
Se ci concentriamo sulle ultime quattro righe nell'output sopra, possiamo vedere due Trovato Voci che mostrano due tentativi di connessione da un indirizzo IP di origine 192.168.72.186. Dopo il terzo tentativo, l'IP di origine è stato bloccato, mostrato dal Bandire voce (AS maxretry = 2). Quindi l'ultima voce è Sbircio, il che dimostra che l'indirizzo IP è stato infranto dopo 20 secondi (COME Bantime = 20 secondi).
Livello di registro
Il livello di registro racconta il tipo e il grado di gravità di un evento registrato. Esistono diversi livelli di registro in Fail2Ban, questi sono i seguenti:
- Critico (condizioni critiche; dovrebbero essere studiate immediatamente)
- Errore (quando qualcosa va storto ma non critico)
- Avvertenza (eventi potenzialmente dannosi)
- Avviso (condizione normale ma significativa)
- Info (messaggi informativi e possono essere ignorati)
- Debug (messaggi a livello di debug)
I livelli di registro sono definiti in /etc/fail2ban/fail2ban.Locale. Per visualizzare il livello di registro corrente, utilizzare il comando di seguito:
$ sudo fail2ban-client ottieni loglevel
Il seguente output mostra il livello di registro corrente di Fail2Ban è INFORMAZIONI.
Modifica del livello di registro
Per modificare il livello di registro di Fail2Ban, dovrai modificare il suo file di configurazione globale. Il file di configurazione di Fail2Ban è Fail2ban.conf sotto il /etc/fail2ban directory. Tuttavia, si suggerisce di non modificare direttamente questo file. Invece, se è necessario apportare modifiche alla configurazione, crea Fail2ban.Locale file.
1. Se hai già creato il fail2ban.file locale, quindi puoi lasciare questo passaggio. Creare Fail2ban.Locale File usando questo comando nel terminale:
$ sudo cp/etc/fail2ban/fail2ban.conf/etc/fail2ban/fail2ban.Locale
2. Modificare Fail2ban.Locale File usando il comando seguente nel terminale:
$ sudo nano/etc/fail2ban/fail2ban.Locale
3. Ora, trova il loglevel ingresso nel Fail2ban.Locale File (è possibile utilizzare CTRL+W per trovare qualsiasi voce nell'editor Nano). Quindi modificare la voce del livello di registro al livello di registro desiderato. Ad esempio, per impostare il livello di registro su Critico, cambia il suo valore:
loglevel = critical
Quindi, salva ed esci dal Fail2ban.Locale file.
4. Riavvia il Fail2Banservice come segue:
$ sudo systemctl riavvia fail2ban
5. Ora, per confermare se il livello di registro è cambiato a livello desiderato, utilizzare il comando seguente:
$ sudo fail2ban-client ottieni loglevel
Target di registro
Nella registrazione di fail2ban, puoi scegliere dove inviare i registri. Un target di registro può essere qualsiasi file, stdout, stderr o syslog. Tuttavia, è possibile specificare un solo target di registro. Per impostazione predefinita, con Fail2BanLogs, tutti gli eventi di registrazione sono in un /var/log/fail2ban.tronco d'albero file. Per trovare il target di registro corrente, utilizzare il comando qui sotto:
$ sudo fail2ban-client ottieni logtarget
Il seguente output mostra che il target di registro corrente è un /var/log/fail2ban.tronco d'albero file.
Modifica target di registro
L'obiettivo del registro in genere non deve essere modificato. Tuttavia, nel caso in cui sia necessario modificarlo, puoi farlo come segue:
1. Per modificare il target del registro, modifica il Fail2ban.Locale Utilizzando il comando seguente nel terminale.
$ sudo nano/etc/fail2ban/fail2ban.Locale
Se Fail2ban.Locale Il file non viene creato, è possibile crearlo, come mostrato nel precedente Modifica del livello di registro sezione.
2. Ora, trova il logtarget ingresso nel Fail2ban.Locale file. È possibile utilizzare CTRL+W per trovare qualsiasi voce nel Nano Editor.
3. Cambiare il logtarget Ingresso al target desiderato, che può essere qualsiasi file come stdout, stderr o syslog. Quindi salva ed esci Fail2ban.Locale file.
4. Riavvia il Fail2Banservice come segue:
$ sudo systemctl riavvia fail2ban
5. Dopo aver modificato il target di registro, è possibile confermarlo usando il comando di seguito:
$ sudo fail2ban-client ottieni logtarget
L'output dovrebbe ora mostrare il nuovo obiettivo di registro.
In questo post, hai imparato a controllare i registri di Fail2ban. Hai anche imparato i livelli di log di Fail2Ban e gli obiettivi di registro e come cambiarli se hai mai bisogno di farlo.