Ошибка соответствия журналов ошибок fail2ban и joomla

Question

Я не могу сопоставить строки joomlas error.php с регулярным выражением fail2ban. Я подозреваю, что это может быть связано с форматом даты и времени, используемым в файле журнала, или количеством пробелов в строке ошибки. У вас есть идея, как добавить определение формата даты / времени где-нибудь в fail2ban?

Журнал:

2013-05-28      06:25:39        INFO    1.2.3.4 Joomla FAILURE:         Username and password do not match or you do not have an account yet.

С помощью fail2ban-regex я перепробовал все, от самых общих символов до точного копирования, но ничего не найдено. Попробуйте например.

fail2ban-regex "2013-05-28      06:25:39        INFO    1.2.3.4 Joomla FAILURE:         Username and password do not match or you do not have an account yet." "^.*<HOST>.*FAILURE"

Установленные пакеты Имя: fail2ban Арка: Ноарх Версия: 0.9.6 Релиз: 1.el6.1

Answer 1

Проблема 1 в том, что вам нужно регулярное выражение, которое продолжается до конца строки.Ваш файл журнала не заканчивается на FAILURE.

Во-вторых, вам нужно быть более строгим с вашим регулярным выражением, Руководство Fail2ban по FILTERS показывает, как это может привести к DoS какВаше регулярное выражение также подвергнет вас опасности.

Чтобы помочь вам выработать более строгое регулярное выражение, используйте параметр fail2ban-regex -D и интерактивно превратите его в строго регулярное выражение