系統(tǒng)日志分析軟件fail2ban

fail2ban是一款免費的系統(tǒng)日志分析軟件，這款軟件可以對主流的服務(wù)器可進(jìn)行快速的監(jiān)控，而且這進(jìn)行監(jiān)控的同時，支持對系統(tǒng)的日志進(jìn)行快速的查看，可自動的幫助用戶匹配日志的錯誤信息等，包括了對相對應(yīng)的的屏蔽動作進(jìn)行執(zhí)行。

功能介紹：

1、支持大量服務(wù)。如sshd,apache,qmail,proftpd,sasl等等

2、支持多種動作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(郵件通知)等等。

3、在logpath選項中支持通配符

4、需要Gamin支持(注：Gamin是用于監(jiān)視文件和目錄是否更改的服務(wù)工具)

5、需要安裝python,iptables,tcp-wrapper,shorewall,Gamin。如果想要發(fā)郵件，那必需安裝postfix/sendmail

使用說明：

//下載rpmforge (里面有大量最新的rpm包)

# wget URL< 此URL請用擴(kuò)展閱讀中的地址替換>

//安裝rpmforge

# rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

//用yum安裝fail2ban

# yum install fail2ban

安裝完成后，fail2ban 的設(shè)定檔在這里

# /etc/fail2ban

fail2ban.conf 日志設(shè)定文檔

jail.conf 阻擋設(shè)定文檔

/etc/fail2ban/filter.d 具體阻擋內(nèi)容設(shè)定目錄

默認(rèn)fail2ban.conf里面就三個參數(shù)，而且都有注釋。

-------------------------------

#默認(rèn)日志的級別

loglevel = 3

#日志的目的

logt*arget = /var/log/fail2ban.log

#socket的位置

socket = /tmp/fail2ban.sock

-------------------------------

jail.conf配置里是fail2ban所保護(hù)的具體服務(wù)的配置，這里以SSH來講。

在jail.conf里有一個[DEFAULT]段，在這個段下的參數(shù)是全局參數(shù)，可以被其它段所覆蓋。

-------------------------------

#忽略IP,在這個清單里的IP不會被屏蔽

ignoreip = 127.0.0.1 172.13.14.15

#屏蔽時間

bantime = 600

#發(fā)現(xiàn)時間，在此期間內(nèi)重試超過規(guī)定次數(shù)，會激活fail2ban

findtime = 600

#嘗試次數(shù)

maxretry = 3

#日志修改檢測機(jī)制

backend = auto

[ssh-iptables]

#激活

enabled = true

#filter的名字，在filter.d目錄下

filter = sshd

#所采用的工作，按照名字可在action.d目錄下找到

action = iptables[name=SSH, port=ssh, protocol=tcp]

mail-whois[name=SSH, dest=root]

#目的分析日志

logpath = /var/log/secure

#覆蓋全局重試次數(shù)

maxretry = 5

#覆蓋全局屏蔽時間

bantime = 3600

-------------------------------

對jail.conf進(jìn)行一定的設(shè)置后，就可以使用fail2ban了。

//啟動fail2ban

# service fail2ban start

啟動之后，只要符合filter所定義的正則式規(guī)則的日志項出現(xiàn)，就會執(zhí)行相應(yīng)的action。