我在服务器上使用 fail2ban 并生成禁令报告。我找不到有关操作中所有可能变量的文档,有人有来源吗?
即我可以用来<failures>指示失败尝试的次数。有没有办法也可以检索发出的禁令时间?(我正在使用增加的禁令时间,因此如果某个 IP 目前被禁止 1 分钟(第一次失败)或 1 天(多次失败),那将会很有趣)
答案1
我找不到有关操作中所有可能变量的文档,有人有来源吗?
其中一些是有记录的(见手册页,我知道它仍然缺少很多),另一个还没有,对于整个列表,你可以检查源代码。此列表适用于 0.11.3(dev),并且可能会在未来版本中增加,或者在以前的版本中遗漏其中的一些,因此请对照您的版本进行检查,您可以在页面上方选择分支标签(例如 0.11.1)。
为了在操作中获取过滤器可以从匹配的消息中捕获的一些参数,您可以使用<F-*>标签,请参阅fail2ban/#1935,评论作为使用示例。
有没有办法也可以检索已发布的 bantime?
这有点复杂 - 虽然标签<bantime>(以及<bancount>)在操作中可用,但问题是延长与 是异步执行的actionban,而 会尽快执行(以便尽快禁止入侵者),因此bantime如果某些票证在开始时尚未延长,您可能会获得 jail 中指定的初始值actionban。
但您可以设置另一个参数以仅获取延长值 - actionprolong,该参数actionban仅在票证增加后调用bantime。
actionprolong = echo "<name>: ban for <ip> prolonged, bantime: <bantime>, banned: <bancount> times" >> /tmp/banned.log