Wie richte ich fail2ban ein, um Multi-Log in einem Gefängnis zu lesen?

20

Wie kann ich mehrere Protokollpfade für dieselbe Regel konfigurieren?

Ich versuche eine Syntax wie diese zu schreiben:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
logpath  = /var/www/vhosts/site1.com/log/errorlog 
logpath  = /var/www/vhosts/site1.com/subdom/log/errorlog
logpath  = /var/www/vhosts/site3/log/errorlog
logpath  = /var/www/vhosts/site4/log/errorlog
maxretry = 1

Die Pfade sind alle unterschiedlich, daher kann ich den RE nicht benutzen *

Was ist die richtige Syntax, um einer Regel mehr Protokolle hinzuzufügen?

log-files fail2ban Max121
quelle

Antworten:

20

Ich habe versucht, die gleiche Syntax zu verwenden, und beim Starten von fail2ban sind keine Fehler aufgetreten. Versuchen Sie dies in Ihrer jail.conf und wenn es trotzdem nicht funktioniert, können Sie Ihre Regel mit einem einzigen Protokollpfad, z.

[apache-w00tw00t-1]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
maxretry = 1

[apache-w00tw00t-2]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog 
maxretry = 1

etc.

Das sollte endlich funktionieren:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog
           /var/log/apache*/*error.log
           /var/www/vhosts/site1.com/subdom/log/errorlog
           /var/www/vhosts/site3/log/errorlog
           /var/www/vhosts/site4/log/errorlog  
maxretry = 1

Weitere Informationen finden Sie unter http://centoshelp.org/security/fail2ban/ .

Meriadoc Brandybock
quelle
Mein Code zeigt keine Fehler, funktioniert aber nicht wie erwartet. Fail2ban sieht nur eine Protokollregel. Ihre Lösung ist, dass ich für jede Regel eine Datei in / filter.d erstellen muss? Beispiel [apache-w00tw00t-1] / etc / fail2ban / filter.d / apache-w00tw00t-1.conf [apache-w00tw00t-2] / etc / fail2ban / filter.d / apache-w00tw00t-2.conf usw.
Max121
Ja ich meine das
Meriadoc Brandybuck
Wenn Sie meinen, das ist interessant, aber es ist nicht die beste Lösung, die ich denke, würde viele Duplikate mit den gleichen Regeln erstellen. Ich denke, es gibt eine elegantere Lösung, um mehrere Protokolle zu einer Regel zusammenzuführen. Auf jeden Fall vielen Dank für die Zusammenarbeit.
Max121
Bitte überprüfen Sie meine Ausgaben in meiner Antwort oben. Ich freue mich auf Ihre Ergebnisse.
Meriadoc Brandybuck
1
Der zweite Teil Ihrer Antwort funktioniert perfekt, wenn Sie für die zusätzlichen Protokolle einen Tabulatorabstand angeben. Wenn es kein "tab" gibt, wirft fail2ban einen Fehler.
Hashid Hameed