那些遇到过的问题

如何在fail2ban监狱中指定多个日志文件模式?

Akh*_*gam 1 fail2ban

我的服务器上有如下日志文件

vpn_20191007.log
vpn_20191008.log
vpn_20191009.log
vpn_20191010.log
vpn_20191011.log
vpn_20191012.log
vpn_20191013.log
vpn_20191014.log
vpn_20191015.log
vpn_20191016.log
Run Code Online (Sandbox Code Playgroud)

是否可以在fail2ban监狱配置中添加日志文件模式?

    [application]
    enabled  = false
    filter   = example
    action   = iptables
    logpath  = /var/log/vpn_%D.log
    maxretry = 1
Run Code Online (Sandbox Code Playgroud)

seb*_*res 5

嗯,有条件的话是可以的……

虽然目前基本上允许使用通配符,所以:

logpath  = /var/log/vpn_*.log
Run Code Online (Sandbox Code Playgroud)

会完成这项工作,但在你的情况下有点难看:

  • fail2ban 仅在服务启动时累积文件列表,因此该列表仍然在fail2ban 中获得(除非重新加载) - 这意味着您应该通知fail2ban 日志文件名已更改(请参阅https://github.com/fail2ban /fail2ban/issues/1379,工作正在进行中)。
  • 由于只有一个文件会收到新消息,因此不需要监视其他文件,特别是在使用轮询后端的情况下。

logrotate因此最好为此制定一些规则:

  • 为了重命名/压缩所有以前的日志文件(以避免匹配过时的文件);
  • 为具有固定名称的最后/活动文件创建硬链接或符号链接(因此fail2ban始终能够找到具有相同名称的文件,并且根本不需要通配符);
  • 或者如果日志文件名发生更改,则通知fail2ban重新加载监狱
    fail2ban-client reload vpn)。

以下是 logrotate 修改的示例:

    postrotate
        nfn="/var/log/vpn_$(date +%Y%m%d).log"
        touch "$nfn"
        ln -fs "$nfn" /var/log/vpn.log
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

5150 次

最近记录:

3 年,9 月 前
相关归档
如何通过命令行手动禁用IP与Fail2Ban? 26
fail2ban apache-auth过滤器未检测到密码失败 6
如何使用Traefik实现fail2ban 6
fail2ban可以在一个单独的docker容器中运行,而不知何故仍然为nginx实现iptables规则? 5
如何使fail2ban读取json docker日志 5
无法启用fail2ban监狱sshd 4
Fail2Ban 通过 cURL 发布 POST 3
使用Nginx蜜罐并使用黑名单、防火墙阻止ip或fail2ban 3
fail2ban - 如何在暂时禁止 3 次后永久禁止 IP 3
如何阻止请求"Cookie:mstshash = NCRACK_USER"? 1
难疑归档
如何在JavaScript中获取查询字符串值? 2701
为什么GCC不优化a*a*a*a*a*a到(a*a*a)*(a*a*a)? 2083
O(log n)究竟意味着什么? 2021
你如何改变用matplotlib绘制的数字的大小? 1726
如何恢复Git中丢失的存储? 1617
循环遍历Bash中的文件内容 1242
在HTML中显示哪些字符可用于上/下三角(没有词干的箭头)? 1212
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
如何在悬停而不是单击时使Twitter Bootstrap菜单下拉列表 1146
为什么有两种方法可以在Git中取消暂存文件? 1109