LINUX.ORG.RU
ФорумSecurity

как подружить fail2ban и OWA

 ,


0

2

Приветствую! Есть чанга 2013, которая стоит за reverse proxy на nginx.

Хочу, чтобы fail2ban читал логи чанги. Единственное, что пришло в голову, расшарить папку с логами IIS и дальше я в затруднении.

На мой взгляд, есть 2 пути:

  1. Через определенные промежутки времени копировать содержимое актуального лога IIS в какой-нибудь локальный файл и его путь уже указывать в jail.local.

  2. Как-то сразу парсить актуальный логфайл IIS. Здесь я в затруднее, поскольку там их туева хуча…

Если идти по первому пути, там работает переменная, которая как раз и формирует правильное имя файла (u_ex230323.log например).

Можете посоветовать что-то эффективное?

Сейчас сделано по первому варианту. каждые 5 минут содержимое лога OWA парситься на предмет строки содержащей ‘reason=2’ (чтобы было меньше информации) и записывается в файл /owa/owa.log, который уже и анализирует fail2ban…

__фрагмент файла jail.local: … [owa-http-auth] enabled = true filter = owa-http-auth port = http,https banaction = iptables-multiport logpath = /owa/owa.log maxretry = 3 bantime = 1800 …

__файл фильтра owa-http-auth: … [Definition]

failregex = - - «GET /owa/auth/logon.aspx?replaceCurrent=1&reason=2»

ignoreregex = …

Но фильтр не работает…



Последнее исправление: mrtoad (всего исправлений: 1)

Ответ на: комментарий от XMPP

Это ответ на мой вопрос? Если да, то в теме совершенно не раскрыто, каким образом получается доступ к логу. Т.е. лог IIS был перенастроен или еще что-то сделано дополнительно… В теме не спросить, поскольку она закрыта.

mrtoad
() автор топика
Ответ на: комментарий от mrtoad

Там в теме касательно фильтра написано, по поводу failregex = - - «GET /owa/auth/logon.aspx?replaceCurrent=1&reason=2». Человек пишет о том, что спецсимволы нужно экранировать, и у него заработало, т.е просто GET /owa/auth/logon.aspx?replaceCurrent=1&reason=2 и не должен работать

XMPP
()
Security