Comment vérifier les échecs 2Banlogs?

Lena Martinez
Comment vérifier les échecs 2Banlogs?
Dans le post d'aujourd'hui, nous allons expliquer comment vérifier les journaux Fail2ban. Nous expliquerons également quels sont les niveaux de journal et les cibles du journal et comment nous pouvons les changer.

Note: La procédure indiquée ici a été testée sur Ubuntu 20.04. Cependant, la même procédure peut être suivie dans d'autres distributions Linux qui ont installé Fail2ban.

Qu'est-ce qu'un fichier journal?

Les fichiers journaux sont automatiquement générés par une application ou un système d'exploitation qui ont un enregistrement d'événements. Ces fichiers gardent une trace de tous les événements liés au système ou à l'application qui les a générés. Le but des fichiers journaux est de maintenir un enregistrement de ce qui s'est passé derrière la scène afin que si quelque chose se produit, nous pouvons voir une liste détaillée des événements qui se sont produits avant le problème. C'est la première chose que les administrateurs vérifient quand ils rencontrent un problème. La plupart des fichiers journaux se terminent avec .journal ou .Extension TXT.

Fichier journal Fail2ban

Fail2ban génère un fichier journal qui enregistre tous les événements pour les tentatives de connexion. Le Fail2Banapplication lui-même surveille ses fichiers journaux pour les tentatives d'authentification ratées ou toute activité suspecte. Après un nombre prédéfini de tentatives d'authentification ratées, il interdit les adresses IP source pendant un temps spécifique. Par conséquent, il est efficace pour prévenir l'intrusion avant de compromettre votre système.

Comment vérifier le fichier journal de Fail2ban?

Vous pouvez trouver le fichier journal Fail2ban au / var / log / fail2ban annuaire. Pour afficher le fichier journal, utilisez la commande ci-dessous:

$ cat / var / log / fail2ban.enregistrer

Ceci est la sortie de la commande ci-dessus qui montre différents événements, ainsi que la date et l'heure de l'occurrence.

Si nous nous concentrons sur les quatre dernières lignes de la sortie ci-dessus, nous pouvons en voir deux Trouvé Entrées qui affichent deux tentatives de connexion par une adresse IP source 192.168.72.186. Après la troisième tentative, l'IP source a été bloquée, montrée par le Interdire Entrée (comme maxretry = 2). Ensuite, la dernière entrée est Se désagréger, qui montre que l'adresse IP a été non canalisée après 20 secondes (comme bantime = 20 secondes).

Niveau de journal

Le niveau de journal indique le type et le degré de gravité d'un événement enregistré. Il existe différents niveaux de journal dans Fail2ban, ce sont les suivants:

  • Critique (conditions critiques; devraient être étudiées immédiatement)
  • Erreur (quand quelque chose ne va pas mais pas critique)
  • Avertissement (événements potentiellement nocifs)
  • Avis (condition normale mais significative)
  • Info (messages d'information et peut être ignoré)
  • Débogage (messages au niveau de débogage)

Les niveaux de journal sont définis dans le / etc / fail2ban / fail2ban.local. Pour afficher le niveau de journal actuel, utilisez la commande ci-dessous:

$ sudo fail2ban-client get lglevel

La sortie suivante montre que le niveau de journal actuel de Fail2ban est INFO.

Modification du niveau du journal

Pour modifier le niveau de journal de Fail2Ban, vous devrez modifier son fichier de configuration globale. Le fichier de configuration Fail2ban est fail2ban.confli sous le / etc / fail2ban annuaire. Cependant, il est suggéré de ne pas modifier ce fichier directement. Au lieu de cela, si vous devez apporter des modifications à la configuration, créez fail2ban.local déposer.

1. Si vous avez déjà créé l'échec2ban.fichier local, alors vous pouvez laisser cette étape. Créer fail2ban.local Fichier en utilisant cette commande dans le terminal:

$ sudo cp / etc / fail2ban / fail2ban.conf / etc / fail2ban / fail2ban.local

2. Modifier fail2ban.local Fichier en utilisant la commande ci-dessous dans le terminal:

$ sudo nano / etc / fail2ban / fail2ban.local

3. Maintenant, trouvez le logevel entrée dans le fail2ban.local Fichier (vous pouvez utiliser le Ctrl + W pour trouver n'importe quelle entrée dans l'éditeur Nano). Puis modifiez l'entrée du niveau de journal au niveau de journal souhaité. Par exemple, pour définir le niveau du journal sur CRITIQUE, modifier sa valeur:

loglevel = critique

Ensuite, enregistrez et sortez fail2ban.local déposer.

4. Redémarrez le Fail2BanService comme suit:

$ sudo systemctl redémarrer fail2ban

5. Maintenant, pour confirmer si le niveau de journal a changé au niveau souhaité, utilisez la commande ci-dessous:

$ sudo fail2ban-client get lglevel

Cible du journal

Dans Fail2ban Logging, vous pouvez choisir où envoyer les journaux. Une cible de journal peut être n'importe quel fichier, stdout, stderr ou syslog. Cependant, vous ne pouvez spécifier qu'une seule cible de journal. Par défaut, avec Fail2Banlogs, tous les événements de journalisation sont dans un / var / log / fail2ban.enregistrer déposer. Pour trouver la cible de journal actuelle, utilisez la commande ci-dessous:

$ sudo fail2ban-client obtient logtarget

La sortie suivante montre que la cible de journal actuelle est un / var / log / fail2ban.enregistrer déposer.

Modification de la cible du journal

La cible de journal n'a généralement pas besoin d'être modifiée. Cependant, au cas où vous auriez besoin de le modifier, vous pouvez le faire comme suit:

1. Pour modifier la cible du journal, modifiez le fail2ban.local Utilisation de la commande ci-dessous dans le terminal.

$ sudo nano / etc / fail2ban / fail2ban.local

Si fail2ban.local Le fichier n'est pas créé, vous pouvez le créer, comme indiqué dans le précédent Modification du niveau du journal section.

2. Maintenant, trouvez le logtarget entrée dans le fail2ban.local déposer. Vous pouvez utiliser le Ctrl + W pour trouver n'importe quelle entrée dans l'éditeur Nano.

3. Changer la logtarget Entrée à la cible souhaitée, qui peut être n'importe quel fichier tel que STDOUT, STDERR ou SYSLOG. Ensuite, enregistrez et sortez fail2ban.local déposer.

4. Redémarrez le Fail2BanService comme suit:

$ sudo systemctl redémarrer fail2ban

5. Après avoir modifié la cible de journal, vous pouvez le confirmer en utilisant la commande ci-dessous:

$ sudo fail2ban-client obtient logtarget

La sortie devrait maintenant afficher la nouvelle cible de journal.

Dans cet article, vous avez appris à vérifier les journaux Fail2ban. Vous avez également appris sur les niveaux de journal et les cibles de journal de Fail2ban, et comment les changer si vous avez besoin de le faire.

Java
Comment compter le nombre de mots dans une chaîne en utilisant Java?
Pour compter le nombre de mots dans une chaîne à l'aide de Java, divisez la chaîne en mots via la mé...
Gabriel Bernard
Base de données Oracle
Comment supprimer la séquence dans Oracle?
La séquence peut être supprimée dans la base de données Oracle à l'aide de la commande «Drop», du bl...
Nathan Blanc
golang
Comment utiliser le mot-clé de différé dans Golang
Déférer les mots clés planifie un appel de fonction à exécuter une fois la fonction terminée. Il per...
Célia Girard
Oracle Linux
Comment installer et utiliser le pack d'extension Oracle VirtualBox?
Nathan Blanc
Python
Numpy Save Dict
Lena Martinez
Python
Astype Numpy
Lena Dupuy
Python
Python os mkdir
Nathan Blanc
Docker
Qu'est-ce que les montures Docker Bind?
Zoe Martinez
golang
Comment convertir la corde en type entier dans Golang?
Nathan Blanc
Javascrip
Comment exécuter TypeScript dans VS Code
Sarah Roux
Docker
Quelles sont les étapes pour exécuter Nginx dans un conteneur Docker sur Ubuntu Top 10.Top 10?
Zoe Martinez
Oracle Linux
Quelles devraient être des spécifications du système minimum pour Oracle Linux?
Lena Martinez
Oracle Linux
Quelle est la différence entre Oracle VirtualBox et VMware?
Ines Dubois