0

このログからソース IP (例: SRC=192.168.0.1 および IP 192.168.0.1 を禁止) を見つけて禁止するための failregex の正規表現を作成するために、いくつかの助けが必要でした:

[ATT] 容疑者: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=192.168.0.1 DST=192.168.0.100 LEN =37 TOS=0x00 PREC=0x00 TTL=13 ID=56037 PROTO=TCP SPT=21 DPT=35 LEN=60

fail2ban の例 正規表現

^%(__prefix_line)sFailed (?:password|publickey) for [HOST](?: port \d*)?(?: ssh\d*)?$ からの .*

検索の場合:

8 月 5 日 11:11:11 igs sshd[28071]: 192.168.0.100 ポート 1234 ssh2 からの無効なユーザー名のパスワードに失敗しました

前もって感謝します

4

1 に答える 1

0
/SRC=([0-9.]*)/

これで $1 にあなたの IP が入りました。

フル RE:

/^\[ATT\] Suspect: .*SRC=([0-9.]*).*$/
于 2012-08-08T18:32:30.160 に答える