Как заставить fail2ban failregex работать (проблема с ". *"?)?

Question

Я бы хотел запретить через fail2ban всех, кто генерирует оба типа строк в моем файле nginx error.log:

2019/12/15 20:12:12 [error] 640#640: *6 open() "/data/xxxxxx.com/www/50x.html" failed (2: No such file or directory), client: 35.187.45.148, server: xxxxxx.com, request: "GET /external.php HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock", host: x.x.x.x

2019/12/16 13:42:59 [crit] 647#647: *41 connect() to unix:/var/run/php5-fpm.sock failed (2: No such file or directory) while connecting to upstream, client: 35.233.78.55, server: xxxxxx.com, request: "GET /external.php HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:", host: "x.x.x.x"

Я думал, что эти строки будут работать:

open (). * Client:

connect () к. * Client:

Но они, очевидно, этого не делают (протестировано с fail2ban-regex). Вот мой полный фильтр:

[Definition]
failregex = open() .* client: < HOST >  
            connect() to .* client: < HOST >   
            FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: < HOST >

datepattern = {^LN-BEG}

Примечание: последний (FastCGI ...) работает. Что-то не так с ". *"?

Answer 1

Круглые скобки () являются регулярными выражениями метасимволами , что означает, что они имеют особое значение в регулярных выражениях. Например, вот что фактически соответствует вашему первому регулярному выражению:

open .* client:

То есть () - это группа capture с нулевой шириной, и поэтому они совпадают с не соответствует ничего вообще. Поскольку вы пытаетесь сопоставить open, за которым следует пробел, вы не можете найти совпадение. Вот исправленная версия:

[Definition]
failregex = open\(\) .* client: < HOST >  
            connect\(\) to .* client: < HOST >   
            FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: < HOST >

datepattern = {^LN-BEG}

Обратите внимание, что если мы хотим сопоставить буквенные скобки, мы должны экранировать их с помощью backsla sh.