Я пытался заставить fail2ban работать с фильтром спама Xeams. Но я не могу понять, какое возможное регулярное выражение я должен использовать для сопоставления журналов. Журналы в этом формате.
61.240.144.65 1451702136946 5
185.130.5.240 1451702444872 5
192.237.159.38 1451705774912 5
185.130.5.240 1451712868825 5
Каждый раздел журнала разделен табуляцией (я думаю), первая часть - это IP-адрес хоста. Понятия не имею, что делают другие разделы.
Я пробовал следующее регулярное выражение, но оно не работает в соответствии с fail2ban-regex.
<HOST> 1451.* .*
Так же как:
<HOST> .* .*
Честно говоря, я понятия не имею, что делать, чтобы сопоставить эти журналы.
Проблема, с которой вы столкнулись, заключается в том, что fail2ban ожидает, что строка будет содержать действительную метку времени, а ваши строки журнала не соответствуют этим критериям, поскольку они начинаются с <HOST>.
Чтобы строка журнала соответствовала вашему failregex, она фактически должна совпадать в двух частях: начало строки должно соответствовать шаблону временной метки или регулярному выражению, а оставшаяся часть строки должна соответствовать вашему failregex. Если failregex привязан к началу ^, то привязка относится к началу оставшейся части строки после метки времени и промежуточных пробелов.
Вам нужно будет предоставить fail2ban файл журнала, который соответствует его входным требованиям.