Как составить regex выражение для использования в fail2ban?

Question

Самия

регулярные-выражения , fail2ban , nginx

Как составить regex выражение для использования в fail2ban?

Здравствуйте.
Я нуждаюсь в помощи с созданием регулярного выражения для fail2ban. Пример лога выглядит следующим образом:

[Fri Sep 29 17:25:42.551318 2023] [lsapi:error] [pid 577133] [client 87.248.180.79:0] [host testik1.domain.local] Connect to backend rejected on sending request(GET / HTTP/1.0); uri(/), check docs.cloudlinux.com/mod_lsapi_troubleshooting.html

Я не уверен, с чего начать или как составить это выражение. Если кто-то может подсказать, буду очень признателен. Что нужно указать в поле failregex?

29 сентября 2023 г. 15:27

Ответы на вопрос 2

Похожие вопросы

Answer 1

Для использования в fail2ban вы можете использовать следующее регулярное выражение в поле failregex:

```regex
^\[\w{3} \w{3} \d{2} \d{2}:\d{2}:\d{2}\.\d+\s\d{4}\]\s\[\w+:\w+\]\s\[\w+\s\d+\]\s\[\w+\s(?:\d+\.\d+\.\d+\.\d+):\d+\]\s\[\w+\s\w+\.\w+\.\w+\]\sConnect\s\w+\s\w+\ssending\srequest\(GET\s\/HTTP\/1\.0\)\;\suri\(\/\)\scheck\s\w+\.\w+\.\w+\/\w+
```

Это выражение соответствует вашему примеру лога и будет срабатывать в случае, если записи в логе будут иметь тот же формат.

Пожалуйста, обратите внимание, что вы должны включить это выражение в ваш файл конфигурации fail2ban.conf или jail.conf для правильной работы fail2ban.

Убедитесь, что перед использованием этого выражения проведена тестовая проверка и адаптировано под вашу среду и требования безопасности.

Answer 2

lsapi:error [pid {pid}] [client {client}]