Home / , / Cách để kiểm tra Fail2banLogs

Cách để kiểm tra Fail2banLogs

by: Kiến thức kinh nghiệm IT, Tin tức 0 comment Tháng Sáu 16, 2021

Trong bài viết hôm nay, chúng tôi sẽ giải thích cách kiểm tra nhật ký Fail2ban. Chúng tôi cũng sẽ giải thích các cấp nhật ký và mục tiêu nhật ký là gì và cách chúng ta có thể thay đổi chúng.

Lưu ý: Quy trình hiển thị ở đây đã được thử nghiệm trên Ubuntu 20.04. Tuy nhiên, quy trình tương tự có thể được thực hiện trong các bản phân phối Linux khác đã cài đặt Fail2ban.

Tệp nhật ký là gì?

Tệp nhật ký là tệp được tạo tự động bởi một ứng dụng hoặc hệ điều hành có bản ghi các sự kiện. Các tệp này theo dõi tất cả các sự kiện được liên kết với hệ thống hoặc ứng dụng đã tạo ra chúng. Mục đích của tệp nhật ký là duy trì hồ sơ về những gì đã xảy ra phía sau hiện trường để nếu có điều gì đó xảy ra, chúng ta có thể xem danh sách chi tiết các sự kiện đã xảy ra trước khi sự cố xảy ra. Đây là điều đầu tiên mà quản trị viên kiểm tra khi họ gặp bất kỳ vấn đề nào. Hầu hết tệp nhật ký kết thúc bằng phần mở rộng .log hoặc .txt.

Tệp nhật ký Fail2ban

Fail2ban tạo một tệp nhật ký ghi lại tất cả các sự kiện cho các lần thử kết nối. Bản thân Fail2banapplication sẽ giám sát các tệp nhật ký của nó để tìm các lần xác thực không thành công hoặc bất kỳ hoạt động đáng ngờ nào. Sau một số lần xác thực không thành công được xác định trước, nó sẽ cấm các địa chỉ IP nguồn trong một khoảng thời gian cụ thể. Do đó, nó có hiệu quả trong việc ngăn chặn xâm nhập trước khi xâm nhập vào hệ thống của bạn.

Làm thế nào để kiểm tra tệp nhật ký Fail2ban?

Bạn có thể tìm thấy tệp nhật ký Fail2ban tại thư mục /var/log/fail2ban. Để xem tệp nhật ký, hãy sử dụng lệnh dưới đây:

cat /var/log/fail2ban.log

Đây là đầu ra của lệnh trên hiển thị các sự kiện khác nhau, cùng với ngày và thời gian xảy ra.

Nếu chúng ta tập trung vào bốn dòng cuối cùng trong đầu ra ở trên, chúng ta có thể thấy hai mục nhập Đã tìm thấy hiển thị hai lần thử kết nối bằng địa chỉ IP nguồn 192.168.72.186. Sau lần thử thứ ba, IP nguồn đã bị chặn, hiển thị bằng mục Cấm (như maxretry = 2). Sau đó, mục cuối cùng là Bỏ cấm, cho thấy rằng địa chỉ IP đã được bỏ cấm sau 20 giây (như bantime = 20 giây ).

Mức đăng nhập

Mức độ nhật ký cho biết loại và mức độ nghiêm trọng của một sự kiện đã ghi. Có các cấp độ nhật ký khác nhau trong Fail2ban, như sau:

  • CRITICAL (Các điều kiện nghiêm trọng; cần được điều tra ngay lập tức)
  • LỖI (Khi có sự cố nhưng không nghiêm trọng)
  • CẢNH BÁO (Các sự kiện có thể có hại)
  • LƯU Ý (Tình trạng bình thường nhưng đáng kể)
  • THÔNG TIN (Thông báo cung cấp thông tin và có thể bị bỏ qua)
  • GỠ LỖI (Thông báo cấp gỡ lỗi)

Các cấp độ nhật ký được xác định trong /etc/fail2ban/fail2ban.local . Để xem cấp độ nhật ký hiện tại, hãy sử dụng lệnh bên dưới:

sudo fail2ban-client lấy loglevel

Đầu ra sau đây cho thấy mức nhật ký hiện tại của Fail2ban là INFO .

Thay đổi cấp độ nhật ký

Để thay đổi cấp độ nhật ký của Fail2ban, bạn sẽ phải chỉnh sửa tệp cấu hình chung của nó. Tệp cấu hình fail2ban là fail2ban.conf trong thư mục /etc/fail2ban . Tuy nhiên, bạn không nên chỉnh sửa trực tiếp tệp này. Thay vào đó, nếu bạn cần thực hiện bất kỳ thay đổi cấu hình nào, hãy tạo tệp fail2ban.local .

  1. Nếu bạn đã tạo tệp fail2ban.local, thì bạn có thể bỏ qua bước này. Tạo tệp fail2ban.localbằng lệnh này trong Terminal:

sudo cp /etc/fail2ban/fail2ban.conf/etc/fail2ban/fail2ban.local

  1. Chỉnh sửa tệp fail2ban.localbằng lệnh bên dưới trong Terminal:

sudo nano /etc/fail2ban/fail2ban.local

  1. Bây giờ, tìm mục nhập logleveltrong tệp fail2ban.local(bạn có thể sử dụng Ctrl + w để tìm bất kỳ mục nào trong trình soạn thảo Nano). Sau đó, thay đổi mục nhập cấp độ nhật ký thành cấp độ nhật ký mong muốn. Ví dụ: để đặt mức nhật ký thành CRITICAL , hãy thay đổi giá trị của nó:

loglevel = CRITICAL

Sau đó, lưu và thoát khỏi tệp fail2ban.local .

  1. Khởi động lại Fail2banservice như sau:

sudo systemctl restart fail2ban

  1. Bây giờ, để xác nhận xem mức nhật ký đã thay đổi thành mức mong muốn hay chưa, hãy sử dụng lệnh bên dưới:

sudo fail2ban-client lấy loglevel

Mục tiêu nhật ký

Trong ghi nhật ký Fail2ban, bạn có thể chọn nơi gửi nhật ký. Mục tiêu nhật ký có thể là bất kỳ tệp nào, STDOUT, STDERR hoặc SYSLOG. Tuy nhiên, bạn chỉ có thể chỉ định một mục tiêu nhật ký. Theo mặc định, với Fail2banlogs, tất cả các sự kiện ghi nhật ký đều nằm trong tệp /var/log/fail2ban.log . Để tìm mục tiêu nhật ký hiện tại, hãy sử dụng lệnh dưới đây:

sudo fail2ban-client lấy logtarget

Kết quả sau cho thấy mục tiêu nhật ký hiện tại là tệp /var/log/fail2ban.log .

Thay đổi mục tiêu nhật ký

Mục tiêu nhật ký thường không cần phải sửa đổi. Tuy nhiên, trong trường hợp cần sửa đổi, bạn có thể thực hiện như sau:

  1. Để thay đổi mục tiêu nhật ký, hãy chỉnh sửa fail2ban.localbằng lệnh bên dưới trong Terminal.

sudo nano /etc/fail2ban/fail2ban.local

Nếu tệp fail2ban.local không được tạo, bạn có thể tạo nó, như được hiển thị trong phần Thay đổi cấp độ nhật ký trước đó.

  1. Bây giờ, hãy tìm mục nhập logtargettrong tệp fail2ban.local. Bạn có thể sử dụng Ctrl + w để tìm bất kỳ mục nhập nào trong trình chỉnh sửa Nano.
  2. Thay đổi mục nhập logtargetthành mục tiêu mong muốn, có thể là bất kỳ tệp nào như STDOUT, STDERR hoặc SYSLOG. Sau đó, lưu và thoát khỏi tệp fail2ban.local.
  3. Khởi động lại Fail2banservice như sau:

sudo systemctl restart fail2ban

  1. Sau khi thay đổi mục tiêu nhật ký, bạn có thể xác nhận nó bằng lệnh dưới đây:

sudo fail2ban-client get logtarget

Đầu ra bây giờ sẽ hiển thị mục tiêu nhật ký mới.

Trong bài đăng này, bạn đã học cách kiểm tra nhật ký Fail2ban. Bạn cũng đã tìm hiểu về các cấp độ nhật ký Fail2ban và mục tiêu nhật ký cũng như cách thay đổi chúng nếu bạn cần làm như vậy.

Bài viết liên quan:

Quan tâm đến hoạt động CSKH của nhà cung cấp khi lựa chọn chỗ đặt server?
Doanh nghiệp ứng dụng cloud server vào hệ thống ERP - Cloud ERP
5 bước đơn giản giúp tăng cường an toàn và bảo mật Windows 10
Các lệnh cơ bản của SSH để truy cập server từ xa
Top 10 bản phân phối Linux tốt nhất
Tags:
Scroll
.