Crowdsec Installation und Handling: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 7: | Zeile 7: | ||
*apt install crowdsec -y | *apt install crowdsec -y | ||
==Installation einiger Bouncers== | ==Installation einiger Bouncers== | ||
| − | *apt install crowdsec-firewall-bouncer- | + | *apt install crowdsec-firewall-bouncer-nftables crowdsec-nginx-bouncer -y |
| + | |||
==Aktivieren von Sqlite WAL== | ==Aktivieren von Sqlite WAL== | ||
| − | *echo "db_config: | + | *echo -e "db_config:\n use_wal: true" > /etc/crowdsec/config.yaml.local |
| − | |||
*systemctl restart crowdsec.service | *systemctl restart crowdsec.service | ||
| − | == | + | |
| − | *cscli completion bash >> ~/.bashrc | + | = Bash Completion aktivieren = |
| + | == Bash Completion für cscli dauerhaft einrichten == | ||
| + | *cscli completion bash >> ~/.bashrc | ||
*source ~/.bashrc | *source ~/.bashrc | ||
| − | == | + | |
| − | *cscli <TAB | + | == Automatische Vervollständigung testen == |
| + | *cscli <TAB><TAB> | ||
| + | |||
| + | = Verwendung der CrowdSec CLI = | ||
| + | |||
| + | == Übersicht anzeigen == | ||
| + | *cscli -h | ||
| + | |||
| + | == Syntax der Befehle == | ||
| + | *cscli <befehl> <unterbefehl> | ||
| + | |||
| + | == Hilfe zu einzelnen Befehlen anzeigen == | ||
| + | *cscli <befehl> <unterbefehl> -h | ||
| + | |||
| + | = Arbeiten mit Parsern = | ||
| + | |||
| + | == Lokale Parser anzeigen == | ||
| + | *cscli parsers list | ||
| + | |||
| + | == Hilfe zu Parserbefehlen anzeigen == | ||
| + | *cscli parsers list -h | ||
| + | |||
| + | = Arbeiten mit Sammlungen (Collections) = | ||
| + | |||
| + | == Installierte Sammlungen anzeigen == | ||
| + | *cscli collections list | ||
| + | |||
| + | == Alle verfügbaren Sammlungen anzeigen == | ||
| + | *cscli collections list -a | ||
| + | |||
| + | == Sammlung installieren == | ||
| + | *cscli collections install crowdsecurity/iptables | ||
| + | |||
| + | == Sammlung aktualisieren == | ||
| + | *cscli collections upgrade crowdsecurity/iptables | ||
| + | |||
| + | == Alle installierten Sammlungen aktualisieren == | ||
| + | *cscli collections upgrade -a | ||
| + | |||
| + | = Arbeiten mit Entscheidungen (Decisions) = | ||
| + | |||
| + | == Manuelle Entscheidung hinzufügen == | ||
| + | *cscli decisions add --ip 1.2.3.4 | ||
| + | |||
| + | == Aktive Entscheidungen anzeigen == | ||
| + | *cscli decisions list | ||
| + | |||
| + | == Entscheidung anhand ID löschen == | ||
| + | *cscli decisions delete --id <ID> | ||
| + | |||
| + | == Entscheidung anhand IP löschen == | ||
| + | *cscli decisions delete --ip 1.2.3.4 | ||
| + | =Crowdsec Process Cold Logs= | ||
| + | Crowdsec kann „kalte“ Protokolle verarbeiten. | ||
| + | |||
| + | Im Zusammenhang mit CrowdSec bezeichnet man als "kalte Protokolle" (cold logs) jene Logdateien, die bereits vor der Installation oder Aktivierung von CrowdSec entstanden sind und somit nicht in Echtzeit erfasst oder analysiert werden. | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | Dies kann nützlich sein, wenn Sie wissen möchten, was Crowdsec im Moment erkannt hat, oder um IP-Adressen zu identifizieren, die untersucht werden sollen, wenn Sie zur Untersuchung eines Verstoßes hinzugezogen werden. | ||
| + | ==Beispiel== | ||
| + | *crowdsec -dsn file:///var/log/nginx/access.log --type nginx -no-api | ||
| + | <pre> | ||
| + | INFO[2025-04-07T11:37:10+02:00] Loading yaml file: '/etc/crowdsec/config.yaml' with additional values from '/etc/crowdsec/config.yaml.local' | ||
| + | INFO[2025-04-07T11:37:10+02:00] single file mode : log_media=stdout daemonize=false | ||
| + | INFO[2025-04-07T11:37:10+02:00] Enabled feature flags: none | ||
| + | INFO[2025-04-07T11:37:10+02:00] Crowdsec v1.6.8-debian-pragmatic-amd64-f209766e | ||
| + | INFO[2025-04-07T11:37:10+02:00] Loading prometheus collectors | ||
| + | WARN[2025-04-07T11:37:10+02:00] Exprhelpers loaded without database client. | ||
| + | INFO[2025-04-07T11:37:10+02:00] Loading grok library /etc/crowdsec/patterns | ||
| + | INFO[2025-04-07T11:37:10+02:00] Loading enrich plugins | ||
| + | INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpCity' | ||
| + | INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpASN' | ||
| + | INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'IpToRange' | ||
| + | INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'reverse_dns' | ||
| + | INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'ParseDate' | ||
| + | INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'UnmarshalJSON' | ||
| + | INFO[2025-04-07T11:37:10+02:00] Loading parsers from 6 files | ||
| + | INFO[2025-04-07T11:37:10+02:00] Loaded 2 parser nodes file=/etc/crowdsec/parsers/s00-raw/syslog-logs.yaml stage=s00-raw | ||
| + | INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes file=/etc/crowdsec/parsers/s01-parse/iptables-logs.yaml stage=s01-parse | ||
| + | INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes file=/etc/crowdsec/parsers/s01-parse/sshd-logs.yaml stage=s01-parse | ||
| + | INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes | ||
| + | </pre> | ||
Aktuelle Version vom 2. Juli 2025, 12:44 Uhr
Installation
Curl installieren
- apt install curl
Eintragen der Repositories und Update
- curl -s https://install.crowdsec.net | sudo sh
Installation von Crowdsec
- apt install crowdsec -y
Installation einiger Bouncers
- apt install crowdsec-firewall-bouncer-nftables crowdsec-nginx-bouncer -y
Aktivieren von Sqlite WAL
- echo -e "db_config:\n use_wal: true" > /etc/crowdsec/config.yaml.local
- systemctl restart crowdsec.service
Bash Completion aktivieren
Bash Completion für cscli dauerhaft einrichten
- cscli completion bash >> ~/.bashrc
- source ~/.bashrc
Automatische Vervollständigung testen
- cscli <TAB><TAB>
Verwendung der CrowdSec CLI
Übersicht anzeigen
- cscli -h
Syntax der Befehle
- cscli <befehl> <unterbefehl>
Hilfe zu einzelnen Befehlen anzeigen
- cscli <befehl> <unterbefehl> -h
Arbeiten mit Parsern
Lokale Parser anzeigen
- cscli parsers list
Hilfe zu Parserbefehlen anzeigen
- cscli parsers list -h
Arbeiten mit Sammlungen (Collections)
Installierte Sammlungen anzeigen
- cscli collections list
Alle verfügbaren Sammlungen anzeigen
- cscli collections list -a
Sammlung installieren
- cscli collections install crowdsecurity/iptables
Sammlung aktualisieren
- cscli collections upgrade crowdsecurity/iptables
Alle installierten Sammlungen aktualisieren
- cscli collections upgrade -a
Arbeiten mit Entscheidungen (Decisions)
Manuelle Entscheidung hinzufügen
- cscli decisions add --ip 1.2.3.4
Aktive Entscheidungen anzeigen
- cscli decisions list
Entscheidung anhand ID löschen
- cscli decisions delete --id <ID>
Entscheidung anhand IP löschen
- cscli decisions delete --ip 1.2.3.4
Crowdsec Process Cold Logs
Crowdsec kann „kalte“ Protokolle verarbeiten.
Im Zusammenhang mit CrowdSec bezeichnet man als "kalte Protokolle" (cold logs) jene Logdateien, die bereits vor der Installation oder Aktivierung von CrowdSec entstanden sind und somit nicht in Echtzeit erfasst oder analysiert werden.
Dies kann nützlich sein, wenn Sie wissen möchten, was Crowdsec im Moment erkannt hat, oder um IP-Adressen zu identifizieren, die untersucht werden sollen, wenn Sie zur Untersuchung eines Verstoßes hinzugezogen werden.
Beispiel
- crowdsec -dsn file:///var/log/nginx/access.log --type nginx -no-api
INFO[2025-04-07T11:37:10+02:00] Loading yaml file: '/etc/crowdsec/config.yaml' with additional values from '/etc/crowdsec/config.yaml.local' INFO[2025-04-07T11:37:10+02:00] single file mode : log_media=stdout daemonize=false INFO[2025-04-07T11:37:10+02:00] Enabled feature flags: none INFO[2025-04-07T11:37:10+02:00] Crowdsec v1.6.8-debian-pragmatic-amd64-f209766e INFO[2025-04-07T11:37:10+02:00] Loading prometheus collectors WARN[2025-04-07T11:37:10+02:00] Exprhelpers loaded without database client. INFO[2025-04-07T11:37:10+02:00] Loading grok library /etc/crowdsec/patterns INFO[2025-04-07T11:37:10+02:00] Loading enrich plugins INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpCity' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpASN' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'IpToRange' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'reverse_dns' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'ParseDate' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'UnmarshalJSON' INFO[2025-04-07T11:37:10+02:00] Loading parsers from 6 files INFO[2025-04-07T11:37:10+02:00] Loaded 2 parser nodes file=/etc/crowdsec/parsers/s00-raw/syslog-logs.yaml stage=s00-raw INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes file=/etc/crowdsec/parsers/s01-parse/iptables-logs.yaml stage=s01-parse INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes file=/etc/crowdsec/parsers/s01-parse/sshd-logs.yaml stage=s01-parse INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes