Hvordan sjekke Fail2Banlogs?
Merk: Prosedyren som vises her er testet på Ubuntu 20.04. Imidlertid kan den samme prosedyren følges i andre Linux -distribusjoner som har mislykket 2Ban installert.
Hva er en loggfil?
Loggfiler genereres automatisk filer med en applikasjon eller OS som har en oversikt over hendelser. Disse filene holder oversikt over alle hendelser knyttet til systemet eller applikasjonen som genererte dem. Hensikten med loggfiler er å føre en oversikt over hva som skjedde bak scenen, slik at hvis noe skjer, kan vi se en detaljert liste over hendelser som har skjedd før problemet. Det er det første administratorer sjekker når de møter noe problem. De fleste loggfilen ender med .logg eller .txt -forlengelse.
Fail2Ban Log -fil
Fail2Ban genererer en loggfil som registrerer alle hendelser for tilkoblingsforsøk. Fail2BanApplication i seg selv overvåker loggfilene sine for mislykkede autentiseringsforsøk eller mistenkelige aktiviteter. Etter et forhåndsdefinert antall mislykkede autentiseringsforsøk, forbyr det kilden IP -adresser i en bestemt periode. Derfor er det effektivt for å forhindre inntrenging før det kompromitterer systemet ditt.
Hvordan sjekke Fail2Ban Log -filen?
Du kan finne Fail2Ban -loggfilen på /var/log/fail2ban katalog. For å se loggfilen, bruk kommandoen nedenfor:
$ katt/var/log/fail2ban.Logg
Dette er output fra kommandoen ovenfor som viser forskjellige hendelser, sammen med datoen og tidspunktet for forekomst.
Hvis vi fokuserer på de fire siste linjene i output ovenfor, kan vi se to Funnet Oppføringer som viser to tilkoblingsforsøk fra en kilde -IP -adresse 192.168.72.186. Etter det tredje forsøket ble kilden IP blokkert, vist av Forby inngang (som Maxretry = 2). Da er den siste oppføringen Uban, som viser at IP -adressen er ubetinget etter 20 sekunder (som Bantime = 20 sek).
Loggnivå
Loggnivå forteller typen og grad av alvorlighetsgraden av en logget hendelse. Det er forskjellige loggnivåer i Fail2Ban, disse er som følger:
- Kritiske (kritiske forhold; bør undersøkes umiddelbart)
- Feil (når noe går galt, men ikke kritisk)
- Advarsel (potensielt skadelige hendelser)
- Merknad (normal, men betydelig tilstand)
- Info (informasjonsmeldinger og kan ignoreres)
- DEBUG (DEBUG-nivå meldinger)
Loggnivåene er definert i /etc/fail2ban/fail2ban.lokal. For å se gjeldende loggnivå, bruk kommandoen nedenfor:
$ sudo fail2ban-client get loglevel
Følgende utgang viser gjeldende loggnivå for Fail2BAN er Info.
Endre loggnivå
For å endre loggnivået til Fail2BAN, må du redigere den globale konfigurasjonsfilen. Fail2BAN -konfigurasjonsfilen er Fail2Ban.konf under /etc/fail2ban katalog. Det foreslås imidlertid ikke å redigere denne filen direkte. I stedet, hvis du trenger å gjøre noen konfigurasjonsendringer, kan du opprette Fail2Ban.lokal fil.
1. Hvis du allerede har opprettet Fail2ban.Lokal fil, så kan du forlate dette trinnet. Skape Fail2Ban.lokal Fil ved å bruke denne kommandoen i terminalen:
$ sudo cp/etc/fail2ban/fail2ban.Conf/etc/fail2ban/fail2ban.lokal
2. Redigere Fail2Ban.lokal Fil ved å bruke kommandoen nedenfor i terminalen:
$ sudo nano/etc/fail2ban/fail2ban.lokal
3. Nå, finn LOGLEVEL inngang i Fail2Ban.lokal Fil (du kan bruke CTRL+W til å finne noen oppføring i Nano Editor). Endre deretter loggnivåoppføringen til ønsket loggnivå. For eksempel for å sette loggnivået til KRITISK, Endre verdien:
LogLevel = kritisk
Deretter, lagre og gå ut av Fail2Ban.lokal fil.
4. Start Fail2Banservice på nytt som følger:
$ sudo SystemCTL RESTART FAIL2BAN
5. For å bekrefte om loggnivået har endret seg til ønsket nivå, bruk kommandoen nedenfor:
$ sudo fail2ban-client get loglevel
Loggmål
I fail2ban -logging kan du velge hvor du skal sende loggene. Et loggmål kan være hvilken som helst fil, stdout, stderr eller syslog. Du kan imidlertid bare spesifisere ett loggmål. Som standard, med fail2banlogs, er alle loggingshendelsene i en /var/log/fail2ban.Logg fil. For å finne det gjeldende loggmålet, bruk kommandoen nedenfor:
$ sudo fail2ban-client get logtarget
Følgende utgang viser at det gjeldende loggmålet er en /var/log/fail2ban.Logg fil.
Endring av loggmål
Loggmålet trenger vanligvis ikke å endres. I tilfelle du trenger å endre det, kan du imidlertid gjøre det som følger:
1. For å endre loggmålet, rediger Fail2Ban.lokal Bruker kommandoen nedenfor i terminalen.
$ sudo nano/etc/fail2ban/fail2ban.lokal
Hvis Fail2Ban.lokal filen er ikke opprettet, du kan opprette den, som vist i forrige Endre loggnivå seksjon.
2. Nå, finn LOGTARGET inngang i Fail2Ban.lokal fil. Du kan bruke CTRL+W til å finne noen oppføring i Nano Editor.
3. Endre LOGTARGET Oppføring til ønsket mål, som kan være hvilken som helst fil som stdout, stderr eller syslog. Lagre og avslutte Fail2Ban.lokal fil.
4. Start Fail2Banservice på nytt som følger:
$ sudo SystemCTL RESTART FAIL2BAN
5. Etter å ha endret loggmålet, kan du bekrefte det ved å bruke kommandoen nedenfor:
$ sudo fail2ban-client get logtarget
Utgangen skal nå vise det nye loggmålet.
I dette innlegget har du lært hvordan du kan sjekke Fail2BAN -logger. Du har også lært om mislykkede 2BAN -loggnivåer og loggmål, og hvordan du endrer dem hvis du noen gang trenger å gjøre det.