系统日志分析软件fail2ban

fail2ban是一款免费的系统日志分析系统，这款系统还可以对流行的网络服务器可开展更快的监管，并且这开展监管的与此同时，支持系统对的日志开展更快的查询，可自行的作用客户配对日志的错误报告等，包含了对相对性应的的屏蔽掉姿势开展实行。

软件功能

1、支持很多服务项目。如sshd,apache,qmail,proftpd,sasl这些

2、支持多种多样姿势。如iptables,tcp-wrapper,shorewall(iptables第三方专用工具),mail notifications(电子邮件通告)这些。

3、在logpath选择项中支持使用通配符

4、必须Gamin支持(注：Gamin是用以监控文档和目录是不是变更的服务项目专用工具)

5、必须安裝python,iptables,tcp-wrapper,shorewall,Gamin。假如要想发送邮件，那必不可少安裝postfix/sendmail

使用方法

//免费下载rpmforge (里边有很多全新的rpm包)

# wget URL 此URL请使用拓展阅读文章中的详细地址更换

//安装rpmforge

# rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

//用yum安装fail2ban

# yum install fail2ban

安裝结束后，fail2ban 的设定档在这儿

# /etc/fail2ban

fail2ban.conf 日志设定文本文档

jail.conf 阻拦设定文本文档

/etc/fail2ban/filter.d 实际阻拦內容设定目录

默认设置fail2ban.conf里边就三个主要参数，并且都是有注解。

-------------------------------

#默认设置日志的等级

loglevel = 3

#日志的目地

logt*arget = /var/log/fail2ban.log

#socket的部位

socket = /tmp/fail2ban.sock

-------------------------------

jail.conf配备里是fail2ban所保障的主要服务项目的配备，这儿以SSH而言。

在jail.conf里有一个[DEFAULT]段，在这个段下的主要参数是全局主要参数，能够被其他段所遮盖。

-------------------------------

#忽视IP,在这个明细里的IP不容易被屏蔽

ignoreip = 127.0.0.1 172.13.14.15

#屏蔽掉時间

bantime = 600

#发觉時间，在这段时间内再试超出要求频次，会激话fail2ban

findtime = 600

#试着频次

maxretry = 3

#日志改动检验体制

backend = auto

[ssh-iptables]

#激话

enabled = true

#filter的名称，在filter.d目录下

filter = sshd

#所运用的工作中，依照名称可在action.d目录下寻找

action = iptables[name=SSH, port=ssh, protocol=tcp]

mail-whois[name=SSH, dest=root]

#目地剖析日志

logpath = /var/log/secure

#遮盖全局再试频次

maxretry = 5

#遮盖全局屏蔽掉時间

bantime = 3600

-------------------------------

对jail.conf开展一定的安装后，就可以应用fail2ban了。

//运行fail2ban

# service fail2ban start

运行以后，只需合乎filter所理解的正则表达式式标准的日志项发生，便会实行对应的action。