Installation

Curl installieren

• apt install curl

Eintragen der Repositories und Update

• curl -s https://install.crowdsec.net | sudo sh

Installation von Crowdsec

• apt install crowdsec -y

Installation einiger Bouncers

• apt install crowdsec-firewall-bouncer-nftables crowdsec-nginx-bouncer -y

Aktivieren von Sqlite WAL

• echo -e "db_config:\n use_wal: true" > /etc/crowdsec/config.yaml.local
• systemctl restart crowdsec.service

Bash Completion aktivieren

Bash Completion für cscli dauerhaft einrichten

• cscli completion bash >> ~/.bashrc
• source ~/.bashrc

Automatische Vervollständigung testen

• cscli <TAB><TAB>

Verwendung der CrowdSec CLI

Übersicht anzeigen

• cscli -h

Syntax der Befehle

• cscli <befehl> <unterbefehl>

Hilfe zu einzelnen Befehlen anzeigen

• cscli <befehl> <unterbefehl> -h

Arbeiten mit Parsern

Lokale Parser anzeigen

• cscli parsers list

Hilfe zu Parserbefehlen anzeigen

• cscli parsers list -h

Arbeiten mit Sammlungen (Collections)

Installierte Sammlungen anzeigen

• cscli collections list

Alle verfügbaren Sammlungen anzeigen

• cscli collections list -a

Sammlung installieren

• cscli collections install crowdsecurity/iptables

Sammlung aktualisieren

• cscli collections upgrade crowdsecurity/iptables

Alle installierten Sammlungen aktualisieren

• cscli collections upgrade -a

Arbeiten mit Entscheidungen (Decisions)

Manuelle Entscheidung hinzufügen

• cscli decisions add --ip 1.2.3.4

Aktive Entscheidungen anzeigen

• cscli decisions list

Entscheidung anhand ID löschen

• cscli decisions delete --id <ID>

Entscheidung anhand IP löschen

• cscli decisions delete --ip 1.2.3.4

Crowdsec Process Cold Logs

Crowdsec kann „kalte“ Protokolle verarbeiten. Dies kann nützlich sein, wenn Sie wissen möchten, was Crowdsec im Moment erkannt hat, oder um IP-Adressen zu identifizieren, die untersucht werden sollen, wenn Sie zur Untersuchung eines Verstoßes hinzugezogen werden.

Beispiel

• crowdsec -dsn file:///var/log/nginx/access.log --type nginx -no-api

INFO[2025-04-07T11:37:10+02:00] Loading yaml file: '/etc/crowdsec/config.yaml' with additional values from '/etc/crowdsec/config.yaml.local' 
INFO[2025-04-07T11:37:10+02:00] single file mode : log_media=stdout daemonize=false 
INFO[2025-04-07T11:37:10+02:00] Enabled feature flags: none                  
INFO[2025-04-07T11:37:10+02:00] Crowdsec v1.6.8-debian-pragmatic-amd64-f209766e 
INFO[2025-04-07T11:37:10+02:00] Loading prometheus collectors                
WARN[2025-04-07T11:37:10+02:00] Exprhelpers loaded without database client.  
INFO[2025-04-07T11:37:10+02:00] Loading grok library /etc/crowdsec/patterns  
INFO[2025-04-07T11:37:10+02:00] Loading enrich plugins                       
INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpCity' 
INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpASN'  
INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'IpToRange' 
INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'reverse_dns' 
INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'ParseDate' 
INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'UnmarshalJSON' 
INFO[2025-04-07T11:37:10+02:00] Loading parsers from 6 files                 
INFO[2025-04-07T11:37:10+02:00] Loaded 2 parser nodes                         file=/etc/crowdsec/parsers/s00-raw/syslog-logs.yaml stage=s00-raw
INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes                         file=/etc/crowdsec/parsers/s01-parse/iptables-logs.yaml stage=s01-parse
INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes                         file=/etc/crowdsec/parsers/s01-parse/sshd-logs.yaml stage=s01-parse
INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes