Hola, estoy intentando hacer coincidir la siguiente línea de registro:
E/Sun, 04 Mar 2018 21:40:32 +0100: Error logging in from RemoteIP: 1.2.3.4
Y después de muchas horas, finalmente tengo una expresión regular que funciona en debuggerex, regextester, etc. Pero por mi vida no puedo conseguir que fail2ban la iguale.
Mi expresión regular en fail2ban es la siguiente:
^E\/(Mon|Tue|Wed|Thu|Fri|Sat|Sun), ([0-1][0-9]) (\w\w\w) (\d\d\d\d) (00|[0-9]|1[0-9]|2[0-3]):([0-9]|[0-5][0-9]):([0-9]|[0-5][0-9]) (\+[0-9][0-9][0-9][0-9]): Error logging in from RemoteIP: <HOST>$
¿Me estoy perdiendo algo básico aquí o qué?
Respuesta1
Como no puedo detectar su problema, aquí está el método general para arreglar una expresión regular de coincidencia fail2ban.
- Verifique que tiene un archivo que contiene la coincidencia deseada, por ejemplo
/var/log/foo.log - Llamar
fail2ban-regex /var/log/foo.log 'substring of regex' - Si no coincide, elimine algunas palabras de su expresión regular y vaya a 2.
- Si coincide, agregue algunas palabras de su expresión regular original y vaya a 2, o:
- Si de 3. y 4. has identificado qué palabra está mal, corrígela.
- Si después de la corrección, la expresión regular completa aún no coincide, repita todo el proceso con la expresión regular fija.