Cómo verificar Fail2Banlogs?
Nota: El procedimiento que se muestra aquí se ha probado en Ubuntu 20.04. Sin embargo, el mismo procedimiento se puede seguir en otras distribuciones de Linux que han instalado Fail2Ban.
¿Qué es un archivo de registro??
Los archivos de registro son generados automáticamente por una aplicación u sistema operativo que tienen un registro de eventos. Estos archivos realizan un seguimiento de todos los eventos vinculados con el sistema o aplicación que los generó. El propósito de los archivos de registro es mantener un registro de lo que sucedió detrás de la escena para que si ocurre algo, podamos ver una lista detallada de eventos que han sucedido antes del problema. Es lo primero que los administradores verifican cuando encuentran cualquier problema. La mayoría del archivo de registro termina con .registro o .extensión txt.
Archivo de registro fail2ban
Fail2ban genera un archivo de registro que registra todos los eventos para intentos de conexión. El Fail2BanApplication en sí monitorea sus archivos de registro para intentos de autenticación fallidos o cualquier actividad sospechosa. Después de un número predefinido de intentos de autenticación fallidos, prohíbe las direcciones IP de origen por una cantidad específica de tiempo. Por lo tanto, es efectivo para prevenir la intrusión antes de comprometer su sistema.
Cómo verificar el archivo de registro de fail2ban?
Puede encontrar el archivo de registro de fail2ban en el /var/log/fail2ban directorio. Para ver el archivo de registro, use el comando a continuación:
$ cat/var/log/fail2ban.registro
Este es el resultado del comando anterior que muestra diferentes eventos, junto con la fecha y la hora de ocurrencia.
Si nos centramos en las últimas cuatro líneas en la salida anterior, podemos ver dos Encontró Entradas que muestran dos intentos de conexión por una dirección IP de origen 192.168.72.186. Después del tercer intento, la IP de origen fue bloqueada, mostrada por el Prohibición Entrada (como maxretry = 2). Entonces la última entrada es Desgarrar, que muestra que la dirección IP ha sido desaconsejada después 20 segundos (como Bantime = 20 segundos).
Nivel de registro
El nivel de registro indica el tipo y el grado de gravedad de un evento registrado. Hay diferentes niveles de registro en Fail2ban, estos son los siguientes:
- Crítico (condiciones críticas; deben investigarse de inmediato)
- Error (cuando algo sale mal pero no es crítico)
- Advertencia (eventos potencialmente dañinos)
- Aviso (condición normal pero significativa)
- Información (mensajes informativos y se pueden ignorar)
- Debug (mensajes a nivel de depuración)
Los niveles de registro se definen en el /etc/fail2ban/fail2ban.local. Para ver el nivel de registro actual, use el comando a continuación:
$ sudo fail2ban-client get loglevel
La siguiente salida muestra que el nivel de registro actual de fail2ban es Información.
Cambiar el nivel de registro
Para cambiar el nivel de registro de Fail2Ban, deberá editar su archivo de configuración global. El archivo de configuración de fail2ban es fail2ban.confusión bajo la /etc/fail2ban directorio. Sin embargo, se sugiere que no edite este archivo directamente. En su lugar, si necesita hacer algún cambio de configuración, cree fail2ban.local archivo.
1. Si ya ha creado el fail2ban.archivo local, luego puede dejar este paso. Crear fail2ban.local Archivo usando este comando en el terminal:
$ sudo cp/etc/fail2ban/fail2ban.conf/etc/fail2ban/fail2ban.local
2. Editar fail2ban.local Archivo utilizando el comando a continuación en el terminal:
$ sudo nano/etc/fail2ban/fail2ban.local
3. Ahora, encuentre el nivel de registro entrada en el fail2ban.local Archivo (puede usar el Ctrl+W para encontrar cualquier entrada en el editor nano). Luego cambie la entrada del nivel de registro al nivel de registro deseado. Por ejemplo, para establecer el nivel de registro en CRÍTICO, Cambiar su valor:
Loglevel = crítico
Entonces, guarde y salga el fail2ban.local archivo.
4. Reinicie el Fail2Banservice de la siguiente manera:
$ sudo systemctl reiniciar fail2ban
5. Ahora, para confirmar si el nivel de registro ha cambiado al nivel deseado, use el comando a continuación:
$ sudo fail2ban-client get loglevel
Objetivo de registro
En fail2ban registro, puede elegir dónde enviar los registros. Un objetivo de registro puede ser cualquier archivo, stdout, stderr o syslog. Sin embargo, puede especificar solo un objetivo de registro. Por defecto, con Fail2Banlogs, todos los eventos de registro están en un /var/log/fail2ban.registro archivo. Para encontrar el objetivo de registro actual, use el comando a continuación:
$ sudo fail2ban-client get logTarget
La siguiente salida muestra que el objetivo de registro actual es un /var/log/fail2ban.registro archivo.
Cambiar el objetivo de registro
El objetivo de registro generalmente no necesita ser modificado. Sin embargo, en caso de que necesite modificarlo, puede hacerlo de la siguiente manera:
1. Para cambiar el objetivo de registro, edite el fail2ban.local Usando el comando a continuación en la terminal.
$ sudo nano/etc/fail2ban/fail2ban.local
Si fail2ban.local no se crea el archivo, puede crearlo, como se muestra en el anterior Cambiar el nivel de registro sección.
2. Ahora, encuentre el logTarget entrada en el fail2ban.local archivo. Puede usar el Ctrl+W para encontrar cualquier entrada en el editor nano.
3. Cambiar el logTarget Entrada al objetivo deseado, que puede ser cualquier archivo como Stdout, Stderr o Syslog. Luego guarde y salga el fail2ban.local archivo.
4. Reinicie el Fail2Banservice de la siguiente manera:
$ sudo systemctl reiniciar fail2ban
5. Después de cambiar el objetivo de registro, puede confirmarlo usando el comando a continuación:
$ sudo fail2ban-client get logTarget
La salida ahora debería mostrar el nuevo objetivo de registro.
En esta publicación, ha aprendido a verificar los registros de fail2ban. También ha aprendido sobre los niveles de registro de fail2ban y los objetivos de registro, y cómo cambiarlos si alguna vez necesita hacerlo.