Inhaltsverzeichnis

Apache Logformat für fail2ban anpassen

Beitragsdatum 13.05.2018
Letzte Aktualisierung 30.06.2018
Betrifft apache 2, fail2ban 0.9.x und andere

Bitte beachten Sie: alle IP-Adressen in diesem Beitrag wurden durch ein „x“ anonymisiert (z.B.: 123.456.789.x).

Problem


Prüfung und Ermittlung der Ursache


Lösung

Anpassung logwatch an neue Struktur

Nachdem man das Logformat des apache2 geändert hat, kann logwatch genau diese Einträge nicht mehr interpretieren. Es fehlt dann in der Logwatch-Mail der Abschnitt - nicht so gut. Daher sollte man nun die Logwatch-Konfiguration anpassen.

# Zu ändernde Datei ins lokale Konfig-Verzeichnis kopieren:
cp /usr/share/logwatch/default.conf/services/http.conf /etc/logwatch/conf/services/

# Ändern:
# Alter Eintrag:
#$LogFormat = "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"|%h %l %u %t \"%r\" %>s %b|%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

# Anpassung/neuer Eintrag (Erweiterung um das oben beschriebene Format-Muster):
$LogFormat = "%t %v:%p %h %l %u \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"|%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"|%h %l %u %t \"%r\" %>s %b|%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

# Um die lokale Konfig komplett zu machen, werden noch zwei Softlinks gesetzt:
ln -s /usr/share/logwatch/scripts/services/http /etc/logwatch/scripts/services/http
ln -s /usr/share/logwatch/default.conf/logfiles/http.conf /etc/logwatch/conf/logfiles/http.conf

# Anschließend testen:
/etc/cron.daily/00logwatch

Eine lokale Konfiguration wird einer default-Konfig (in /usr/share/logwatch/…) vorgezogen.


Quellen:


Ähnliche Themen im blog:
fail2ban, openssl, apache


zurück