Назад | Перейти на главную страницу

Регулярное выражение Fail2ban не соответствует моему журналу

Я пытаюсь создать failregex в Fail2ban, чтобы найти эти строки (и IP-адреса), но я не могу его написать.

Мои строки журнала выглядят так:

[Чт, 22 сентября, 10:28: 32.215159 2016] [: ошибка] [pid 1616] [клиент 83.143.240.13:54895] FastCGI: сервер "/var/www/cgi-bin/php5-fcgi-104.236.209.45-80- blogginger.com "stderr: сообщение PHP: не удалось войти в WP для имени пользователя: admin, referer: http://blogginger.com/wp-login.php

[22 сентября, четверг, 04:38: 01.588441 2016] [: ошибка] [pid 24937] [клиент 49.151.91.8:58121] FastCGI: сервер "/var/www/cgi-bin/php5-fcgi-104.236.209.45-80- blogginger.com "stderr: сообщение PHP: не удалось войти в WP для имени пользователя: admin, referer: http://blogginger.com/wp-login.php

И это моя строка failregex в attack.conf:

failregex = [[]client <HOST>[]] WP login failed.*

Но не работает. Нет ни одного совпадения.

Какая правильная строка failregex для поиска этих строк журнала?

Спасибо!

Пытаться

failregex = \[client <HOST>:\d+\] .* WP login failed

Вы можете использовать fail2ban-regex утилита для проверки регулярных выражений на примерах входных файлов. Это намного быстрее и проще, чем пытаться сделать это с живыми журналами.

попробуйте с

failregex = [[]client <HOST>[]] .*WP login failed.*