Bagaimana cara mengatur fail2ban untuk membaca multi log di penjara?

20

Bagaimana saya bisa mengkonfigurasi beberapa jalur masuk untuk aturan yang sama?

Saya mencoba menulis sintaks seperti ini:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
logpath  = /var/www/vhosts/site1.com/log/errorlog 
logpath  = /var/www/vhosts/site1.com/subdom/log/errorlog
logpath  = /var/www/vhosts/site3/log/errorlog
logpath  = /var/www/vhosts/site4/log/errorlog
maxretry = 1

Path-nya berbeda, jadi saya tidak bisa menggunakan RE *

Apa sintaks yang benar untuk meletakkan lebih banyak log ke suatu aturan?

log-files fail2ban Max121
sumber

Jawaban:

20

Saya mencoba menggunakan sintaks yang sama dan tidak mendapatkan kesalahan saat meluncurkan fail2ban. Coba ini di jail.conf Anda dan jika tetap tidak berhasil, Anda dapat dengan mudah membagi aturan Anda menjadi beberapa dengan satu logpath, mis .:

[apache-w00tw00t-1]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/log/apache*/*error.log 
maxretry = 1

[apache-w00tw00t-2]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog 
maxretry = 1

dll.

Ini akhirnya akan berhasil:

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports
logpath  = /var/www/vhosts/site1.com/log/errorlog
           /var/log/apache*/*error.log
           /var/www/vhosts/site1.com/subdom/log/errorlog
           /var/www/vhosts/site3/log/errorlog
           /var/www/vhosts/site4/log/errorlog  
maxretry = 1

Anda dapat berkonsultasi dengan http://centoshelp.org/security/fail2ban/ untuk informasi.

Meriadoc Brandybuck
sumber
kode saya tidak menunjukkan kesalahan, tetapi tidak berfungsi seperti yang diharapkan. Fail2ban hanya melihat satu aturan log. Solusi Anda adalah bahwa untuk setiap aturan saya harus membuat file di / filter.d? contoh [apache-w00tw00t-1] / etc / fail2ban / filter.d / apache-w00tw00t-1.conf [apache-w00tw00t-2] / etc / fail2ban / filter.d / apache-w00tw00t-2.conf dll
Max121
Ya, maksud saya itu.
Meriadoc Brandybuck
Jika maksud Anda ini menarik, tetapi itu bukan solusi terbaik yang saya pikir, akan membuat banyak duplikat dengan aturan yang sama. Saya pikir ada solusi yang lebih elegan untuk menggabungkan beberapa log menjadi sebuah aturan. Bagaimanapun, terima kasih atas kolaborasi ini.
Max121
Silakan periksa edisi saya di jawaban saya di atas. Menantikan hasil Anda.
Meriadoc Brandybuck
1
Bagian ke-2 dari jawaban Anda berfungsi dengan baik jika Anda memberi spasi "tab" untuk log ekstra. Jika tidak ada "tab" fail2ban melempar kesalahan.
Hashid Hameed