[Megoldva] Fail2ban egyedi log formátummal nem jön ki jól

Linux-security

Sziasztok!

Van egy olyan log-om, ami a következő formátumban tartalmazza a bejegyzéseket:
[Kliens]: URL
azaz:
[1.2.3.4]: 5.6.7.8/phpmyadmin

fail2ban-t próbálnám ráereszteni ezzel: 

failregex = [[]<HOST>[]]: .*/(phpMyAdmin|phpmyadmin|mysqladmin|myadmin)

De az eredmény az, hogy semmi nem történik. Mivel regex-ben nem vagyok túl jártas, így... Ötlete valakinek?

Szerk:
Megoldva, Köszönöm!

A dátum hiányzott. Miután a sorok elejére beillesztettem a dátumot "éééé-hh-nn óó:pp:mm" formátumba, rögtön végig banolta a tesztfájlom IP-it!

  • 1832 megtekintés

( blr v | 2015. 04. 14., k – 21:43 )

Ezt a szögleteszárójel-leírást nem tudom, hol találtad, de helyesen:
failregex = \[<HOST>\]:

( sheridan | 2015. 04. 14., k – 22:02 )

Talán máskorra még hasznos lehet - én itt szoktam botladozni ha el vagyok kényelmesedve: http://www.regexr.com/

(értelemszerűen a fail2ban esetén ott tesztelve a HOST marker kimarad, helyette mondjuk .* amíg teszteled)

( lx | 2015. 04. 14., k – 22:08 )


$ fail2ban-regex "[1.2.3.4]: 5.6.7.8/phpmyadmin" "[[]<HOST>[]]: .*/(phpMyAdmin|phpmyadmin|mysqladmin|myadmin)"
Running tests
=============

Use regex line : [[]<HOST>[]]: .*/(phpMyAdmin|phpmyadmin|mysqladmin...
Use single line: [1.2.3.4]: 5.6.7.8/phpmyadmin

Found a match for '[1.2.3.4]: 5.6.7.8/phpmyadmin' but no valid date/time found for '[1.2.3.4]: 5.6.7.8/phpmyadmin'. Please contact the author in order to get support for this format

Hacsak nem frissebb a verziód, nem lesz ez így jó - viszont közbeiktathatsz egy ideiglenes fájlt, amibe belehazudsz egy dátumot, és azt parszoltatni, hogy örüljön.

Az időt frankón kihagytam, hogy takarékoskodjam a hellyel. Nálam ez a fail2ban-regex "not found" volt, de megoldottam, hogy legyen. Viszont egy szót se szolt a dátumról.

Szerk: Teli raktam a tesztfájlom dátummal, most épp maxon pörgeti a procit a fail2ban, meglátom mit alkot...