Fail2ban 正则表达式与我的日志不匹配

Fail2ban 正则表达式与我的日志不匹配

我正在尝试在 Fail2ban 中创建一个 failregex 来查找这些行(和 IP 地址),但我无法写入它。

我的日志行如下所示:

[2016 年 9 月 22 日星期四 10:28:32.215159] [:错误] [pid 1616] [客户端 83.143.240.13:54895] FastCGI:服务器“/var/www/cgi-bin/php5-fcgi-104.236.209.45-80-blogginger.com” stderr:PHP 消息:WP 登录失败,用户名:admin,引荐来源: http://blogginger.com/wp-login.php

[2016 年 9 月 22 日星期四 04:38:01.588441] [:错误] [pid 24937] [客户端 49.151.91.8:58121] FastCGI:服务器“/var/www/cgi-bin/php5-fcgi-104.236.209.45-80-blogginger.com” stderr:PHP 消息:WP 登录失败,用户名:admin,引荐来源: http://blogginger.com/wp-login.php

这是我在 attack.conf 中的 failregex 行:

failregex = [[]client <HOST>[]] WP login failed.*

但它不起作用。没有任何匹配。

查找这些日志行的正确 failregex 行是什么?

谢谢你!

答案1

尝试

failregex = \[client <HOST>:\d+\] .* WP login failed

您可以使用该fail2ban-regex实用程序针对示例输入文件测试正则表达式。这比尝试使用实时日志执行此操作要快得多,也容易得多。

答案2

尝试

failregex = [[]client <HOST>[]] .*WP login failed.*

相关内容