Поиск по сайту:

Как проверить Fail2banLogs?


В сегодняшней статье мы объясним, как проверить журналы Fail2ban. Мы также объясним, что такое уровни журнала и цели журнала и как мы можем их изменить.

Примечание. Показанная здесь процедура была протестирована в Ubuntu 20.04. Однако ту же процедуру можно выполнить и в других дистрибутивах Linux, в которых установлен Fail2ban.

Что такое файл журнала?

Файлы журналов — это автоматически созданные приложением или ОС файлы, содержащие записи о событиях. Эти файлы отслеживают все события, связанные с системой или приложением, которые их сгенерировали. Файлы журналов предназначены для ведения записей о том, что происходило за сценой, чтобы, если что-то произойдет, мы могли увидеть подробный список событий, которые произошли до возникновения проблемы. Это первое, что администраторы проверяют, когда сталкиваются с какой-либо проблемой. Большинство файлов журнала заканчиваются расширением .log или .txt.

Файл журнала Fail2ban

Fail2ban создает файл журнала, в который записываются все события попыток подключения. Приложение Fail2ban само отслеживает свои файлы журналов на наличие неудачных попыток аутентификации или любых подозрительных действий. После предопределенного количества неудачных попыток аутентификации он блокирует исходные IP-адреса на определенное время. Следовательно, он эффективен для предотвращения вторжений до того, как они скомпрометируют вашу систему.

Как проверить файл журнала Fail2ban?

Вы можете найти файл журнала Fail2ban в каталоге /var/log/fail2ban. Чтобы просмотреть файл журнала, используйте следующую команду:

$ cat /var/log/fail2ban.log

Это вывод вышеуказанной команды, который показывает различные события, а также дату и время их возникновения.

Если мы сосредоточимся на последних четырех строках в приведенном выше выводе, мы увидим две записи Found, которые показывают две попытки подключения с исходного IP-адреса 192.168.72.186. После третьей попытки исходный IP-адрес был заблокирован, о чем свидетельствует запись Ban (как maxretry=2). Затем последняя запись — Unban, которая показывает, что IP-адрес был разблокирован через 20 секунд (как bantime=20sec).

Уровень журнала

Уровень журнала указывает тип и степень серьезности регистрируемого события. В Fail2ban есть разные уровни ведения журнала, а именно:

  • КРИТИЧЕСКИЕ (Критические состояния; должны быть исследованы немедленно)

  • ОШИБКА (Когда что-то идет не так, но не критично)

  • ПРЕДУПРЕЖДЕНИЕ (потенциально опасные события)

  • УВЕДОМЛЕНИЕ (Нормальное, но важное условие)

  • INFO (информационные сообщения, которые можно игнорировать)

  • DEBUG (сообщения уровня отладки)

Уровни журнала определяются в файле /etc/fail2ban/fail2ban.local. Чтобы просмотреть текущий уровень журнала, используйте команду ниже:

$ sudo fail2ban-client get loglevel

Следующий вывод показывает, что текущий уровень журнала Fail2ban — INFO.

Изменение уровня журнала

Чтобы изменить уровень журнала Fail2ban, вам придется отредактировать его глобальный файл конфигурации. Файл конфигурации Fail2ban — fail2ban.conf в каталоге /etc/fail2ban. Однако рекомендуется не редактировать этот файл напрямую. Вместо этого, если вам нужно внести какие-либо изменения в конфигурацию, создайте файл fail2ban.local.

1. Если вы уже создали файл fail2ban.local, то можете оставить этот шаг. Создайте файл fail2ban.local с помощью этой команды в Терминале:

$ sudo cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

2. Отредактируйте файл fail2ban.local с помощью приведенной ниже команды в Терминале:

$ sudo nano /etc/fail2ban/fail2ban.local

3. Теперь найдите запись loglevel в файле fail2ban.local (вы можете использовать Ctrl+w, чтобы найти любую запись в редакторе Nano). Затем измените запись уровня журнала на желаемый уровень журнала. Например, чтобы установить уровень журнала CRITICAL, измените его значение:

loglevel = CRITICAL

Затем сохраните и закройте файл fail2ban.local.

4. Перезапустите службу Fail2ban следующим образом:

$ sudo systemctl restart fail2ban

5. Теперь, чтобы подтвердить, изменился ли уровень журнала до нужного уровня, используйте команду ниже:

$ sudo fail2ban-client get loglevel

Цель журнала

В журнале Fail2ban вы можете выбрать, куда отправлять журналы. Целью журнала может быть любой файл, STDOUT, STDERR или SYSLOG. Однако можно указать только одну цель журнала. По умолчанию при использовании Fail2banlogs все события регистрации находятся в файле /var/log/fail2ban.log. Чтобы найти текущую цель журнала, используйте команду ниже:

$ sudo fail2ban-client get logtarget

Следующий вывод показывает, что текущим целевым объектом журнала является файл /var/log/fail2ban.log.

Изменение цели журнала

Целевой журнал обычно не нужно изменять. Однако, если вам нужно изменить его, вы можете сделать это следующим образом:

1. Чтобы изменить цель журнала, отредактируйте файл fail2ban.local с помощью приведенной ниже команды в Терминале.

$ sudo nano /etc/fail2ban/fail2ban.local

Если файл fail2ban.local не создан, его можно создать, как показано в предыдущем разделе Изменение уровня журнала.

2. Теперь найдите запись logtarget в файле fail2ban.local. Вы можете использовать Ctrl+w, чтобы найти любую запись в редакторе Nano.

3. Измените запись logtarget на желаемую цель, которой может быть любой файл, например STDOUT, STDERR или SYSLOG. Затем сохраните и закройте файл fail2ban.local.

4. Перезапустите службу Fail2ban следующим образом:

$ sudo systemctl restart fail2ban

5. После изменения цели журнала вы можете подтвердить это с помощью команды ниже:

$ sudo fail2ban-client get logtarget

Вывод должен теперь показать новую цель журнала.

В этом посте вы узнали, как проверить журналы Fail2ban. Вы также узнали об уровнях журнала Fail2ban и целях журнала, а также о том, как их изменить, если вам когда-нибудь понадобится это сделать.