更改规则/过滤器的 fail2ban.log 日志级别

更改规则/过滤器的 fail2ban.log 日志级别

fail2ban.log 文件中的某些消息设置为 INFO,而我希望它们处于 DEBUG 状态。我不希望日志中出现一些常见详细信息。例如:

fail2ban.filter  [214912]: INFO [dovecot] Ignore 127.0.0.1 by ignoreself rule

然后,有些消息可能值得从“信息”提升到更高级别,虽然不完全是“警告”,但更像是“仅供参考”。例如:

[postfix] Found 1.2.3.4

主要问题:我们可以在哪里找到有关如何操作与规则相关的日志级别的信息?

需要说明的是,我并不是在询问在 /etc/fail2ban/fail2ban.local 中设置日志记录级别。这是一个比较值,任何等于或高于该值的日志详细信息都会保存到 Fail2Ban 日志中。我正在寻找与配置值进行比较的规则/过滤器值。

相关/次要:

  • 将日志级别分配给特定规则的代码在哪里?
  • 我们可以创建更多日志级别吗?
  • 我理解“ignoreself”是内置的。将 ignoreself 消息降低到 DEBUG 级别日志记录是否合理?

谢谢。

答案1

** 我试过了,但还是不行。我试过的方法是:**

首先,从本网站我看到根据 Fail2Ban 版本设置日志级别的不同语法:

< 0.8.x : set log level using numeric only
0.9.x : set log level using string only
> 0.10 : Set log level with both numeric and string 

因此,我首先建议您检查您的版本,方法是:

# fail2ban-regex -V
0.11.2

网页为全服务带来设置loglevel的通用解释。

我将尝试通过以下方式解决同一问题:

  1. 转到相关的 Fail2ban 文件夹:
cd /etc/fail2ban/filter.d
  1. 然后,通过文本编辑器访问您想要设置特定日志级别的特定过滤器(即“规则”):
vi jail_name_exampple.conf
  1. 在 JAIL 已经设置的 header '[Definition]' 配置文件下添加以下内容最后
[Definition]
..
..
..
loglevel = DEBUG

笔记:

A) 手动配置的 Jail-Filter 可以在文件名中使用下划线“_”,但如果使用破折号“-”,则可能会失败

B)各种“日志级别”包括:CRITICAL、ERROR、WARNING、NOTICE、INFO、DEBUG、TRACEDEBUG、HEAVYDEBUG,据我所知,DEBUG 更为严重。

C) 我看到有人建议确保在 fail2ban.conf/.local 中指定的日志级别不是 DEBUG 级别——这可能会导致 fail2ban 陷入无限循环,不断向自身输入无意义的行 然而我正在短暂地检查 JAIL 的 DEBUG

  1. 重新启动服务,可能的方法如下:
sudo service fail2ban restart

或者

sudo systemctl restart fail2ban
  1. 检查了每个监狱的日志级别并且仍然看到一般配置:
fail2ban-client get loglevel jail_name_exampple
Current logging level is 'INFO'

相关内容