Crowdsec Installation und Handling
Version vom 13. April 2025, 11:09 Uhr von Thomas.will (Diskussion | Beiträge) (→Installation einiger Bouncers)
Installation
Curl installieren
- apt install curl
Eintragen der Repositories und Update
- curl -s https://install.crowdsec.net | sudo sh
Installation von Crowdsec
- apt install crowdsec -y
Installation einiger Bouncers
- apt install crowdsec-firewall-bouncer-nftables crowdsec-nginx-bouncer -y
Aktivieren von Sqlite WAL
- echo -e "db_config:\n use_wal: true" > /etc/crowdsec/config.yaml.local
- systemctl restart crowdsec.service
Bash Completion aktivieren
Bash Completion für cscli dauerhaft einrichten
- cscli completion bash >> ~/.bashrc
- source ~/.bashrc
Automatische Vervollständigung testen
- cscli <TAB><TAB>
Verwendung der CrowdSec CLI
Übersicht anzeigen
- cscli -h
Syntax der Befehle
- cscli <befehl> <unterbefehl>
Hilfe zu einzelnen Befehlen anzeigen
- cscli <befehl> <unterbefehl> -h
Arbeiten mit Parsern
Lokale Parser anzeigen
- cscli parsers list
Hilfe zu Parserbefehlen anzeigen
- cscli parsers list -h
Arbeiten mit Sammlungen (Collections)
Installierte Sammlungen anzeigen
- cscli collections list
Alle verfügbaren Sammlungen anzeigen
- cscli collections list -a
Sammlung installieren
- cscli collections install crowdsecurity/iptables
Sammlung aktualisieren
- cscli collections upgrade crowdsecurity/iptables
Alle installierten Sammlungen aktualisieren
- cscli collections upgrade -a
Arbeiten mit Entscheidungen (Decisions)
Manuelle Entscheidung hinzufügen
- cscli decisions add --ip 1.2.3.4
Aktive Entscheidungen anzeigen
- cscli decisions list
Entscheidung anhand ID löschen
- cscli decisions delete --id <ID>
Entscheidung anhand IP löschen
- cscli decisions delete --ip 1.2.3.4
Crowdsec Process Cold Logs
Crowdsec kann „kalte“ Protokolle verarbeiten. Dies kann nützlich sein, wenn Sie wissen möchten, was Crowdsec im Moment erkannt hat, oder um IP-Adressen zu identifizieren, die untersucht werden sollen, wenn Sie zur Untersuchung eines Verstoßes hinzugezogen werden.
Beispiel
- crowdsec -dsn file:///var/log/nginx/access.log --type nginx -no-api
INFO[2025-04-07T11:37:10+02:00] Loading yaml file: '/etc/crowdsec/config.yaml' with additional values from '/etc/crowdsec/config.yaml.local' INFO[2025-04-07T11:37:10+02:00] single file mode : log_media=stdout daemonize=false INFO[2025-04-07T11:37:10+02:00] Enabled feature flags: none INFO[2025-04-07T11:37:10+02:00] Crowdsec v1.6.8-debian-pragmatic-amd64-f209766e INFO[2025-04-07T11:37:10+02:00] Loading prometheus collectors WARN[2025-04-07T11:37:10+02:00] Exprhelpers loaded without database client. INFO[2025-04-07T11:37:10+02:00] Loading grok library /etc/crowdsec/patterns INFO[2025-04-07T11:37:10+02:00] Loading enrich plugins INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpCity' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'GeoIpASN' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'IpToRange' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'reverse_dns' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'ParseDate' INFO[2025-04-07T11:37:10+02:00] Successfully registered enricher 'UnmarshalJSON' INFO[2025-04-07T11:37:10+02:00] Loading parsers from 6 files INFO[2025-04-07T11:37:10+02:00] Loaded 2 parser nodes file=/etc/crowdsec/parsers/s00-raw/syslog-logs.yaml stage=s00-raw INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes file=/etc/crowdsec/parsers/s01-parse/iptables-logs.yaml stage=s01-parse INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes file=/etc/crowdsec/parsers/s01-parse/sshd-logs.yaml stage=s01-parse INFO[2025-04-07T11:37:10+02:00] Loaded 1 parser nodes