Fail2ban регулярное выражение не соответствует моему журналу
Я пытаюсь создать failregex в Fail2ban, чтобы найти эти строки (и IP-адреса), но я не могу написать это.
Мои строки журнала выглядят так:
[Чт 22 сентября 10:28:32.215159 2016] [: ошибка] [pid 1616] [клиент 83.143.240.13:54895] FastCGI: сервер "/var/www/cgi-bin/php5-fcgi-104.236.209.45-80-blogginger.com" stderr: PHP сообщение: сбой входа WP для имени пользователя: admin, реферер: http://blogginger.com/wp-login.php
[Чт 22 сентября 04:38:01.588441 2016] [: ошибка] [pid 24937] [клиент 49.151.91.8:58121] FastCGI: сервер "/var/www/cgi-bin/php5-fcgi-104.236.209.45-80-blogginger.com" stderr: PHP сообщение: сбой входа WP для имени пользователя: admin, реферер: http://blogginger.com/wp-login.php
И это моя строка failregex в attack.conf:
failregex = [[]client <HOST>[]] WP login failed.*
Но это не работает. Там нет ни одного совпадения.
Какова правильная строка failregex для поиска этих строк журнала?
Спасибо!
2 ответа
Пытаться
failregex = \[client <HOST>:\d+\] .* WP login failed
Вы можете использовать fail2ban-regex утилита для проверки регулярных выражений на примере входных файлов. Это намного быстрее и проще, чем пытаться делать это с живыми журналами.
Попробуй с
failregex = [[]client <HOST>[]] .*WP login failed.*