Hallo, ich versuche, die folgende Protokollzeile abzugleichen:
E/Sun, 04 Mar 2018 21:40:32 +0100: Error logging in from RemoteIP: 1.2.3.4
Und nach vielen Stunden habe ich endlich einen regulären Ausdruck, der mit Debuggerex, Regextester usw. funktioniert. Aber ich kann beim besten Willen nicht feststellen, dass fail2ban damit übereinstimmt.
Mein regulärer Ausdruck in fail2ban lautet wie folgt:
^E\/(Mon|Tue|Wed|Thu|Fri|Sat|Sun), ([0-1][0-9]) (\w\w\w) (\d\d\d\d) (00|[0-9]|1[0-9]|2[0-3]):([0-9]|[0-5][0-9]):([0-9]|[0-5][0-9]) (\+[0-9][0-9][0-9][0-9]): Error logging in from RemoteIP: <HOST>$
Übersehe ich hier etwas Grundlegendes oder was?
Antwort1
Da ich Ihr Problem nicht erkennen kann, finden Sie hier die allgemeine Methode zum Beheben eines Fail2Ban-Match-Regex.
- Überprüfen Sie, ob Sie eine Datei haben, die die gewünschte Übereinstimmung enthält, z. B.
/var/log/foo.log - Anruf
fail2ban-regex /var/log/foo.log 'substring of regex' - Wenn es nicht übereinstimmt, entfernen Sie ein paar Wörter aus Ihrem regulären Ausdruck und fahren Sie mit 2 fort.
- Wenn es übereinstimmt, hängen Sie ein paar Wörter Ihres ursprünglichen regulären Ausdrucks an und gehen Sie zu 2, oder:
- Wenn Sie anhand von 3. und 4. herausgefunden haben, welches Wort falsch ist, korrigieren Sie es.
- Wenn der vollständige reguläre Ausdruck nach der Korrektur immer noch nicht übereinstimmt, wiederholen Sie den gesamten Vorgang mit dem korrigierten regulären Ausdruck.