Como verificar Fail2Banlogs?
Observação: O procedimento mostrado aqui foi testado no Ubuntu 20.04. No entanto, o mesmo procedimento pode ser seguido em outras distribuições Linux que falharam2ban instaladas.
O que é um arquivo de log?
Os arquivos de log são arquivos gerados automaticamente por um aplicativo ou sistema operacional que têm um registro de eventos. Esses arquivos acompanham todos os eventos vinculados ao sistema ou aplicativo que os gerou. O objetivo dos arquivos de log é manter um registro do que aconteceu nos bastidores, para que, se algo ocorrer, podemos ver uma lista detalhada de eventos que aconteceram antes do problema. É a primeira coisa que os administradores verificam quando encontram qualquer problema. A maioria dos arquivos de log termina com .log ou .Extensão txt.
Arquivo de log Fail2ban
Fail2ban gera um arquivo de log que registra todos os eventos para tentativas de conexão. A própria falha de falha monitora seus arquivos de log para tentativas de autenticação com falha ou quaisquer atividades suspeitas. Após um número predefinido de tentativas de autenticação com falha, proíbe os endereços IP de origem por um período específico de tempo. Portanto, é eficaz na prevenção de intrusão antes de comprometer seu sistema.
Como verificar o arquivo de log Fail2ban?
Você pode encontrar o arquivo de log Fail2ban no /var/log/falha2ban diretório. Para visualizar o arquivo de log, use o comando abaixo:
$ CAT/VAR/LOG/FAIL2BAN.registro
Esta é a saída do comando acima que mostra diferentes eventos, juntamente com a data e a hora da ocorrência.
Se nos concentrarmos nas quatro últimas linhas na saída acima, podemos ver dois Encontrado Entradas que mostram duas tentativas de conexão por um endereço IP de origem 192.168.72.186. Após a terceira tentativa, o IP de origem foi bloqueado, mostrado pelo Banimento entrada (como maxretry = 2). Então a última entrada é Unban, que mostra que o endereço IP foi não banido depois 20 segundos (como Bantime = 20seg).
Nível de log
O nível de log informa o tipo e o grau de gravidade de um evento registrado. Existem diferentes níveis de log no Fail2ban, são os seguintes:
- Crítico (condições críticas; deve ser investigado imediatamente)
- Erro (quando algo dá errado, mas não crítico)
- Aviso (eventos potencialmente prejudiciais)
- Aviso (condição normal, mas significativa)
- Informações (mensagens informativas e podem ser ignoradas)
- Debug (mensagens de depuração)
Os níveis de log são definidos no /etc/fail2ban/fail2ban.local. Para visualizar o nível de log atual, use o comando abaixo:
$ sudo fracas
A saída a seguir mostra o nível de log atual do Fail2ban é Informações.
Alterando o nível de log
Para alterar o nível de log do Fail2Ban, você terá que editar seu arquivo de configuração global. Fail2Ban Configuration File é Fail2ban.conf debaixo de /etc/fail2ban diretório. No entanto, é sugerido não editar este arquivo diretamente. Em vez disso, se você precisar fazer alterações de configuração, crie Fail2ban.local arquivo.
1. Se você já criou o Fail2ban.arquivo local, então você pode deixar esta etapa. Criar Fail2ban.local Arquivo usando este comando no terminal:
$ sudo cp/etc/fail2ban/fail2ban.conf/etc/falhe2ban/fail2ban.local
2. Editar Fail2ban.local Arquivo usando o comando abaixo no terminal:
$ sudo nano/etc/fail2ban/fail2ban.local
3. Agora, encontre o Loglevel entrada no Fail2ban.local Arquivo (você pode usar o Ctrl+W para encontrar qualquer entrada no editor Nano). Em seguida, altere a entrada do nível de log para o nível de log desejado. Por exemplo, para definir o nível de log como CRÍTICO, Altere seu valor:
loglevel = crítico
Então, salve e saia do Fail2ban.local arquivo.
4. Reinicie o Fail2Banservice da seguinte maneira:
$ sudo systemctl reiniciar falha2ban
5. Agora, para confirmar se o nível de log mudou para o nível desejado, use o comando abaixo:
$ sudo fracas
Target de log
No registro Fail2ban, você pode escolher para onde enviar os logs. Um destino de log pode ser qualquer arquivo, stdout, stderr ou syslog. No entanto, você pode especificar apenas um alvo de log. Por padrão, com Fail2Banlogs, todos os eventos de registro estão em um /var/log/falha2ban.registro arquivo. Para encontrar o destino do log atual, use o comando abaixo:
$ sudo fail2ban-client get Logtarget
A saída a seguir mostra que o alvo de log atual é um /var/log/falha2ban.registro arquivo.
Alterando o destino do log
O alvo de log normalmente não precisa ser modificado. No entanto, caso você precise modificá -lo, você pode fazê -lo o seguinte:
1. Para alterar o destino do log, edite o Fail2ban.local Usando o comando abaixo no terminal.
$ sudo nano/etc/fail2ban/fail2ban.local
Se Fail2ban.local O arquivo não é criado, você pode criá -lo, como mostrado no anterior Alterando o nível de log seção.
2. Agora, encontre o Logtarget entrada no Fail2ban.local arquivo. Você pode usar o Ctrl+W para encontrar qualquer entrada no editor Nano.
3. Mudar o Logtarget entrada para o alvo desejado, que pode ser qualquer arquivo como stdout, stderr ou syslog. Em seguida, salve e saia do Fail2ban.local arquivo.
4. Reinicie o Fail2Banservice da seguinte maneira:
$ sudo systemctl reiniciar falha2ban
5. Depois de alterar o destino do log, você pode confirmá -lo usando o comando abaixo:
$ sudo fail2ban-client get Logtarget
A saída agora deve mostrar o novo alvo de log.
Nesta postagem, você aprendeu a verificar os registros Fail2ban. Você também aprendeu sobre os níveis de log Fail2ban e os alvos de log, e como alterá -los se precisar fazer isso.