Fail2ban: fail2ban-regex guacamole 도커 로그에 필요한 도움

에 만든 2020년 11월 24일 · 6코멘트 · 출처: fail2ban/fail2ban

일반 정보:
배포: 우분투 18.04
페일투밴 v0.10.2

환경:

_해당되는 상자를 작성하고 선택하십시오( [x] ). Fail2Ban 버전이 오래된 경우
최신 릴리스에서 문제가 지속되는지 확인할 수 없으므로 지원을 요청하는 것이 좋습니다.
Fail2Ban을 얻은 배포판에서_

Fail2Ban 버전(가능한 모든 배포 접미사 포함):
릴리스 이름/버전을 포함한 OS:
[X] OS/배포 메커니즘을 통해 설치된 Fail2Ban
[ ] 코드베이스에 추가 외부 패치를 적용하지 않았습니다.
[ ] 구성에 일부 사용자 정의가 수행되었습니다(아래에 세부 정보 제공).

내 문제:

친애하는 세브르 여러분,
지난 3일 동안 쉘 스크립팅에 대해 많이 배웠습니다 :)
그러나 정규식 구문은 정말 이상한 것입니다. 나는 그것이 어떻게 작동하는지 이해하지 못합니다.

이제 이 WAF 제품에 보기 제한이 있으며 오래된 과카몰리 용기를 활성화해야 합니다.
로그는 다음과 같습니다.

{"log":"12:59:14.168 [http-nio-8080-exec-4] WARN  o.a.g.r.auth.AuthenticationService - Authentication attempt from [192.168.8.5, 172.17.0.1] for user \"admin\" failed.\n","stream":"stdout","time":"2020-11-22T11:59:14.168982605Z"}
{"log":"12:59:15.477 [http-nio-8080-exec-9] WARN  o.a.g.r.auth.AuthenticationService - Authentication attempt from [192.168.8.5, 172.17.0.1] for user \"admin\" failed.\n","stream":"stdout","time":"2020-11-22T11:59:15.477692225Z"}

1단계;간단한 시작 - 유용한 정보: https://github.com/fail2ban/fail2ban/issues/2645#issuecomment -592032811

공장!

fail2ban-regex -v \
'19:48:16.995 [http-nio-8080-exec-2] WARN  o.a.g.r.auth.AuthenticationService - Authentication attempt from [192.168.8.5, 172.17.0.1] for user "dfg" failed.' \
'\b[Aa]uthentication attempt from \[<HOST>(?:,[^\]]*)?\] (?:for user (?:"[^"]*" )?)?failed\.\s*$'

2 단계; 날짜 패턴 추가; 도움이 되는 https://github.com/fail2ban/fail2ban/issues/2592#issuecomment -573119939

실패 :(

fail2ban-regex -v \
--datepattern='^\{"log":"%%H:%%M:%%S\.%%f+\s+' \
'"log":"19:48:16.995 [http-nio-8080-exec-2] WARN  o.a.g.r.auth.AuthenticationService - Authentication attempt from [192.168.8.5, 172.17.0.1] for user "dfg" failed."' \
'\b[Aa]uthentication attempt from \[<HOST>(?:,[^\]]*)?\] (?:for user (?:"[^"]*" )?)?failed\.\s*$'

그리고 전체 로그 문자열을 사용합니다. "n","stream":"stdout","time":"2020-11-22T11:59:15.477692225Z"" Step1도 NULL 일치 항목을 반환합니다.
여기서 두 번째로 저를 도와주시겠습니까?

how-to

출처

4Syno

모든 6 댓글

구성 파일에서만(예: 필터 또는 감옥에서) % 를 %% 로 이스케이프해야 합니다. 명령줄에서는 여전히 단일 문자여야 하므로

-fail2ban-regex -v --datepattern='^\{"log":"%%H:%%M:%%S\.%%f+\s+' ...
+fail2ban-regex -v --datepattern='^\{"log":"%H:%M:%S\.%f+\s+' ...

RE에 관해서는, 당신의 (초) 변형 (또한 올바른 datepattern 포함)하지 작업, 메시지가 끝나지 않습니다 때문에 failed. (때문에 최종 앵커 $ 에서 failed\.\s*$ ), 그래서 정규식은 "log":"value" 에 있는 값의 내용에 적용될 수 있지만 json이 유사하게 보이고 더 많은 데이터를 포함하고 일부 구조로 묶여 있고 다르게 이스케이프된 전체 메시지에는 적용할 수 없습니다(예: for user \"... 백슬래시 참고

나는 다음과 같이 할 것입니다.

$ msg='{"log":"12:59:14.168 [http-nio-8080-exec-4] WARN  o.a.g.r.auth.AuthenticationService - Authentication attempt from [192.168.8.5, 172.17.0.1] for user \"admin\" failed.\n","stream":"stdout","time":"2020-11-22T11:59:14.168982605Z"}'
$ dp=',"time"\s*:\s*"%Y-%m-%dT%H:%M:%S\.%f\d*%z"\}$'
$ re='^\{"log"\s*:\s*"\S+\s+\[[^\]]+\]\s+WARN\s+\S+\s+-\s+[Aa]uthentication attempt from \[<ADDR>(?:,[^\]]*)?\] (?:for user (?:\\"<F-USER>[^"]*</F-USER>\\" )?)?failed\.'

$ fail2ban-regex -v --datepattern="$dp" "$msg" "$re"
...
Failregex: 1 total
|-  #) [# of hits] regular expression
|   1) [1] ^\{"log"\s*:\s*"\S+\s+\[[^\]]+\]\s+WARN\s+\S+\s+-\s+[Aa]uthentication attempt from \[<ADDR>(?:,[^\]]*)?\] (?:for user (?:\\"<F-USER>[^"]*</F-USER>\\" )?)?failed\.
|      192.168.8.5  Sun Nov 22 12:59:14 2020
`-
...
Date template hits:
|- [# of hits] date format
|  [1] ,"time"\s*:\s*"Year-Month-DayT24hour:Minute:Second\.Microseconds\d*Zone offset"\}$
`-

Lines: 1 lines, 0 ignored, 1 matched, 0 missed

# newer version can output found failure data (rows):
$ fail2ban-regex -o row --datepattern="$dp" "$msg" "$re"
['192.168.8.5', 1606046354,   {'ip6': None, 'user': 'admin', 'ip4': '192.168.8.5'}],

이것은 더 독특하고 시작부터 고정되며 날짜와 함께 보다 정확한 타임스탬프를 위해 datepattern을 사용합니다(UTC로, 로그 끝에서).
또한 fail2ban은 failregex 시작되기 전에 datepattern 일치하는 메시지의 일부를 잘라냅니다.

sebres 에 2020년 11월 24일

👍1

위에서 약간의 오류가 발생했습니다(메시지 업데이트) - Z (GMT 기호)를 인식하려면 영역 이름 토큰 %Z 대신 영역 오프셋 토큰( %z )을 사용해야 합니다. %Z ):

-dp=',"time"\s*:\s*"%Y-%m-%dT%H:%M:%S\.%f\d*%Z"\}$'
+dp=',"time"\s*:\s*"%Y-%m-%dT%H:%M:%S\.%f\d*%z"\}$'
...
-|      192.168.8.5  Sun Nov 22 11:59:14 2020
+|      192.168.8.5  Sun Nov 22 12:59:14 2020
...
-|  [1] ,"time"\s*:\s*"Year-Month-DayT24hour:Minute:Second\.Microseconds\d*Zone name"\}$
+|  [1] ,"time"\s*:\s*"Year-Month-DayT24hour:Minute:Second\.Microseconds\d*Zone offset"\}$

sebres 에 2020년 11월 24일

👍1

감사합니다!
당신의 도움으로 시작하고 실행했습니다. 정말 대단합니다!

조언 추가:
fail2ban.datedetector [20911]: INFO 날짜 패턴 ',"time"\\s*:\\s*"%Y-%m-%dT%H:%M:%S\\.%f\\d*%z"\\}$' : ,"time"\s*:\s*"Year-Month-DayT24hour:Minute:Second\.Microseconds\d*Zone offset"\}$

마지막 질문입니다. 나는 fail2ban.filter에 대한 앞으로의 작업량을 줄이고 싶습니다 :)
내가 할 수 있는 최선의 로그 경로를 정의하는 것이 좋은 생각이라고 생각했습니다. ( 컨테이너 업데이트 ( id 변경 등. 여기에서는 해당되지 않음 )

logpath = /media/data/docker/containers/*/*-json.log 부터
logpath = /media/data/docker/containers/5e2543bbe77a52ff310073fdfb4183fa3fda6a3dd98294b48a081517baa20eb4/5e2543bbe77a52ff310073fdfb4183fa3fda6a3dd98294b48a081517baa20eb4-json.log \

이것은 오류로 실행됩니다.
내가 할 수 있는 일?

4Syno 에 2020년 11월 24일

fail2ban.filter에 대한 향후 작업량을 줄이고 싶습니다.
내가 할 수 있는 최선의 로그 경로를 정의하는 것이 좋은 생각이라고 생각했습니다.

설마. 현재 fail2ban은 시작 시 한 번만 glob 보간 및 검색을 수행하기 때문입니다(문제 #1379와 아직 코어에 병합되지 않은 많은 실험 분기가 있음).
그래서 당신의 시도는 아무것도 바꾸지 않았습니다.

내가 할 수 있는 일?

예, \ 뒤의 .log \ 후행 백슬래시를 제거합니다. :)
(선택 사항) 모든 로그 경로의 두 번째 매개변수는 head 또는 tail 있습니다.

sebres 에 2020년 11월 24일

다시 한 번: 감사합니다!
맥주는 내꺼야!

4Syno 에 2020년 11월 24일

감사합니다!!! 감사합니다!
(맥주라면 즐기겠지만.. 상황에 따라 한두권이 될 것 같아요;;)
다시 한번 감사합니다!

sebres 에 2020년 11월 24일

👍1

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Fail2ban: fail2ban-regex guacamole 도커 로그에 필요한 도움

환경:

내 문제:

모든 6 댓글

관련 문제