我在服务器上安装了 Fail2Ban 作为 IDS
/home/bheng/app/(master*) # fail2ban-client status sshd root@b-world
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 50
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 31
`- Banned IP list:
我看到了
禁止总数:31
我想看看他们的 IP 是什么,这样我就能定位他们来自哪里。
查看它们的命令是什么?
我试过了
cat /var/log/auth.log | grep ip
和
cat /var/log/auth.log | grep ban
我什么也没得到。
如能得到任何提示我将非常感激。
我试过
awk'($(NF-1)= /Ban/){print $NF}'/var/log/fail2ban.log |sort|uniq-c|sort-n
我什么也没得到。
我试过
猫/var/log/fail2ban.log
我有
2021-10-31 00:00:07,323 fail2ban.server [857]: INFO 已对 /var/log/fail2ban.log 执行翻转
答案1
在许多发行版中,Fail2Ban 会将其执行的每个操作记录到 SYSLOG。您可以仔细检查您的/etc/fail2ban/fail2ban.conf并寻找命令日志目标在我的 CENTOS 盒子上,该行内容为:
logtarget = SYSLOG
如果是这种情况,您可以在消息日志中看到每个操作(禁止或解除禁止):/var/log/消息
您可以使用以下命令查看 Fail2Ban 执行的每个操作:
grep "fail2ban" /var/log/messages
如果您只想提取 IP,请尝试以下命令:
grep "fail2ban" /var/log/messages | grep " Ban " | cut -d" " -f10 | sort | uniq
答案2
简单如下:
$ sudo grep -w "Ban" /var/log/fail2ban.log
2024-03-30 23:30:33,009 fail2ban.actions [6398]: NOTICE [sshd] Ban 47.92.145.154
2024-03-30 23:31:07,225 fail2ban.actions [6398]: NOTICE [sshd] Ban 124.222.23.243