Jak skonfigurować fail2ban do odczytu wielu logów w więzieniu?

20

Jak mogę skonfigurować wiele ścieżek dziennika dla tej samej reguły?

Próbuję napisać taką składnię:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
logpath  = /var/www/vhosts/site1.com/log/errorlog 
logpath  = /var/www/vhosts/site1.com/subdom/log/errorlog
logpath  = /var/www/vhosts/site3/log/errorlog
logpath  = /var/www/vhosts/site4/log/errorlog
maxretry = 1

Ścieżki są różne, więc nie mogę użyć RE *

Jaka jest poprawna składnia, aby ustawić więcej dzienników w regule?

log-files  fail2ban 
Max121
źródło

Odpowiedzi:

20

Próbowałem użyć tej samej składni i nie otrzymałem żadnych błędów podczas uruchamiania fail2ban. Wypróbuj to w jail.conf, a jeśli mimo to nie zadziała, możesz łatwo podzielić regułę na kilka za pomocą jednej ścieżki logu, np .:

[apache-w00tw00t-1]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
maxretry = 1

[apache-w00tw00t-2]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog 
maxretry = 1

itp.

To powinno wreszcie zadziałać:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog
           /var/log/apache*/*error.log
           /var/www/vhosts/site1.com/subdom/log/errorlog
           /var/www/vhosts/site3/log/errorlog
           /var/www/vhosts/site4/log/errorlog  
maxretry = 1

Informacje można znaleźć na stronie http://centoshelp.org/security/fail2ban/ .

Meriadoc Brandybuck
źródło
mój kod nie wyświetla błędów, ale nie działa zgodnie z oczekiwaniami. Fail2ban widzi tylko jedną regułę dziennika. Twoim rozwiązaniem jest to, że dla każdej reguły muszę utworzyć plik w / filter.d? przykład [apache-w00tw00t-1] / etc / fail2ban / filter.d / apache-w00tw00t-1.conf [apache-w00tw00t-2] / etc / fail2ban / filter.d / apache-w00tw00t-2.conf itp.
Max121
Tak, mam na myśli to.
Meriadoc Brandybuck
Jeśli masz na myśli, że jest to interesujące, ale nie jest to najlepsze rozwiązanie, myślę, że stworzyłoby wiele duplikatów na tych samych zasadach. Myślę, że istnieje bardziej eleganckie rozwiązanie, aby połączyć wiele dzienników w regułę. W każdym razie dziękuję za współpracę.
Max121
Proszę sprawdzić moje wydania w powyższej odpowiedzi. Czekamy na twoje wyniki.
Meriadoc Brandybuck
1
Druga część Twojej odpowiedzi działa idealnie, jeśli podasz odstępy „tab” dla dodatkowych dzienników. Jeśli nie ma „karty” fail2ban generuje błąd.
Hashid Hameed
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.