Crowdsec Installation und Handling: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 7: | Zeile 7: | ||
*apt install crowdsec -y | *apt install crowdsec -y | ||
==Installation einiger Bouncers== | ==Installation einiger Bouncers== | ||
| − | *apt install crowdsec-firewall-bouncer- | + | *apt install crowdsec-firewall-bouncer-nftables crowdsec-nginx-bouncer -y |
| + | |||
==Aktivieren von Sqlite WAL== | ==Aktivieren von Sqlite WAL== | ||
| − | *echo "db_config: | + | *echo -e "db_config:\n use_wal: true" > /etc/crowdsec/config.yaml.local |
| − | |||
*systemctl restart crowdsec.service | *systemctl restart crowdsec.service | ||
| + | |||
= Bash Completion aktivieren = | = Bash Completion aktivieren = | ||
== Bash Completion für cscli dauerhaft einrichten == | == Bash Completion für cscli dauerhaft einrichten == | ||
| Zeile 70: | Zeile 71: | ||
*cscli decisions delete --ip 1.2.3.4 | *cscli decisions delete --ip 1.2.3.4 | ||
=Crowdsec Process Cold Logs= | =Crowdsec Process Cold Logs= | ||
| − | Crowdsec kann „kalte“ Protokolle verarbeiten. Dies kann nützlich sein, wenn Sie wissen möchten, was Crowdsec im Moment erkannt hat, oder um IP-Adressen zu identifizieren, die untersucht werden sollen, wenn Sie zur Untersuchung eines Verstoßes hinzugezogen werden. | + | Crowdsec kann „kalte“ Protokolle verarbeiten. |
| + | |||
| + | Im Zusammenhang mit CrowdSec bezeichnet man als "kalte Protokolle" (cold logs) jene Logdateien, die bereits vor der Installation oder Aktivierung von CrowdSec entstanden sind und somit nicht in Echtzeit erfasst oder analysiert werden. | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | Dies kann nützlich sein, wenn Sie wissen möchten, was Crowdsec im Moment erkannt hat, oder um IP-Adressen zu identifizieren, die untersucht werden sollen, wenn Sie zur Untersuchung eines Verstoßes hinzugezogen werden. | ||
==Beispiel== | ==Beispiel== | ||
*crowdsec -dsn file:///var/log/nginx/access.log --type nginx -no-api | *crowdsec -dsn file:///var/log/nginx/access.log --type nginx -no-api | ||
Aktuelle Version vom 2. Juli 2025, 12:44 Uhr
Installation
Curl installieren
- apt install curl
Eintragen der Repositories und Update
- curl -s https://install.crowdsec.net | sudo sh
Installation von Crowdsec
- apt install crowdsec -y
Installation einiger Bouncers
- apt install crowdsec-firewall-bouncer-nftables crowdsec-nginx-bouncer -y
Aktivieren von Sqlite WAL
- echo -e "db_config:\n use_wal: true" > /etc/crowdsec/config.yaml.local
- systemctl restart crowdsec.service
Bash Completion aktivieren
Bash Completion für cscli dauerhaft einrichten
- cscli completion bash >> ~/.bashrc
- source ~/.bashrc
Automatische Vervollständigung testen
- cscli <TAB><TAB>
Verwendung der CrowdSec CLI
Übersicht anzeigen
- cscli -h
Syntax der Befehle
- cscli <befehl> <unterbefehl>
Hilfe zu einzelnen Befehlen anzeigen
- cscli <befehl> <unterbefehl> -h
Arbeiten mit Parsern
Lokale Parser anzeigen
- cscli parsers list
Hilfe zu Parserbefehlen anzeigen
- cscli parsers list -h
Arbeiten mit Sammlungen (Collections)
Installierte Sammlungen anzeigen
- cscli collections list
Alle verfügbaren Sammlungen anzeigen
- cscli collections list -a
Sammlung installieren
- cscli collections install crowdsecurity/iptables
Sammlung aktualisieren
- cscli collections upgrade crowdsecurity/iptables
Alle installierten Sammlungen aktualisieren
- cscli collections upgrade -a
Arbeiten mit Entscheidungen (Decisions)
Manuelle Entscheidung hinzufügen
- cscli decisions add --ip 1.2.3.4
Aktive Entscheidungen anzeigen
- cscli decisions list
Entscheidung anhand ID löschen
- cscli decisions delete --id <ID>
Entscheidung anhand IP löschen
- cscli decisions delete --ip 1.2.3.4
Crowdsec Process Cold Logs
Crowdsec kann „kalte“ Protokolle verarbeiten.
Im Zusammenhang mit CrowdSec bezeichnet man als "kalte Protokolle" (cold logs) jene Logdateien, die bereits vor der Installation oder Aktivierung von CrowdSec entstanden sind und somit nicht in Echtzeit erfasst oder analysiert werden.
Dies kann nützlich sein, wenn Sie wissen möchten, was Crowdsec im Moment erkannt hat, oder um IP-Adressen zu identifizieren, die untersucht werden sollen, wenn Sie zur Untersuchung eines Verstoßes hinzugezogen werden.
Beispiel
- crowdsec -dsn file:///var/log/nginx/access.log --type nginx -no-api
INFO[2025-04-07T11:37:10+02:00] Loading yaml file: '/etc/crowdsec/config.yaml' with additional values from '/etc/crowdsec/config.yaml.local' INFO[2025-04-07T11:37:10+02:00] single file mode : log_media=stdout daemonize=false INFO[2025-04-07T11:37:10+02:00] Enabled feature flags: none INFO[2025-04-07T11:37:10+02:00] Crowdsec v1.6.8-debian-pragmatic-amd64-f209766e INFO[2025-04-07T11:37:10+02:00] Loading prometheus collectors WARN[2025-04-07T11:37:10+02:00] Exprhelpers loaded without database client. INFO[2025-04-07T11:37:10+02:00] Loading grok library /etc/crowdsec/patterns INFO[2025-04-07T11:37:10+02:00] Loading enrich plugins INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpCity' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpASN' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'IpToRange' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'reverse_dns' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'ParseDate' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'UnmarshalJSON' INFO[2025-04-07T11:37:10+02:00] Loading parsers from 6 files INFO[2025-04-07T11:37:10+02:00] Loaded 2 parser nodes file=/etc/crowdsec/parsers/s00-raw/syslog-logs.yaml stage=s00-raw INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes file=/etc/crowdsec/parsers/s01-parse/iptables-logs.yaml stage=s01-parse INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes file=/etc/crowdsec/parsers/s01-parse/sshd-logs.yaml stage=s01-parse INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes