Назад | Перейти на главную страницу

fail2ban получает события, но не запускает событие

Я установил fail2ban для мониторинга службы, которую я выставил за пределами моего маршрутизатора. Файлы регистрируются правильно, а события улавливаются fail2ban.

2013-11-21 01:05:24,573 fail2ban.filter : DEBUG  Got event: 1 for /path/to/log.log
2013-11-21 01:05:24,576 fail2ban.filter : DEBUG  File changed: /path/to/log.log
2013-11-21 01:05:34,636 fail2ban.filter : DEBUG  Got event: 1 for /path/to/log.log
2013-11-21 01:05:34,639 fail2ban.filter : DEBUG  File changed: /path/to/log.log
2013-11-21 01:05:36,667 fail2ban.filter : DEBUG  Got event: 1 for /path/to/log.log
2013-11-21 01:05:36,671 fail2ban.filter : DEBUG  File changed: /path/to/log.log
2013-11-21 01:05:39,700 fail2ban.filter : DEBUG  Got event: 1 for /path/to/log.log
2013-11-21 01:05:39,703 fail2ban.filter : DEBUG  File changed: /path/to/log.log
2013-11-21 01:05:41,732 fail2ban.filter : DEBUG  Got event: 1 for /path/to/log.log
2013-11-21 01:05:41,736 fail2ban.filter : DEBUG  File changed: /path/to/log.log
2013-11-21 01:05:48,770 fail2ban.filter : DEBUG  Got event: 1 for /path/to/log.log
2013-11-21 01:05:48,773 fail2ban.filter : DEBUG  File changed: /path/to/log.log

jail.conf:

[service-name]

enabled  = true
port     = 1234
filter   = service-name
action   = iptables[name=service-name, port=1234, protocol=tcp]
           sendmail-whois[name=service-name, dest=user@domain.com]
logpath  = /path/to/log.log
maxretry = 5

fail2ban / filter.d / имя-службы:

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf


[Definition]
_daemon = service-name

failregex = .* Login failed from <HOST>

Пример файла журнала:

[11-21-2013 00:12:00] Login failed from 192.168.1.2
[11-21-2013 01:01:23] Login failed from 192.168.1.2
[11-21-2013 01:01:33] Login failed from 192.168.1.2
[11-21-2013 01:01:35] Login failed from 192.168.1.2
[11-21-2013 01:01:38] Login failed from 192.168.1.2
[11-21-2013 01:01:39] Login failed from 192.168.1.2
[11-21-2013 01:01:47] Login failed from 192.168.1.2

Есть идеи, с чего начать?

Изменить: я включил SSH в jail.conf, и он работал без проблем, поэтому fail2ban и iptables, похоже, работают правильно, но сервис - нет.

Я испытал такое же поведение и обнаружил, что на сервере fail2ban неверное время.