私の fail2ban exim フィルターは、数日前まで正常に機能していました。フィルターに変更を加えていないため、exim ログの行は以前と同じように見えます。ただし、fail2ban はこれらの複数回の試行を自動禁止することに失敗しています。
私は次の正規表現を使用しており、fail2ban は正常に動作しています。
^%(pid)s \w+ authenticator failed for (\S+ )?\(\S+\) \[<HOST>\]: 535 Incorrect authentication data( \(set_id=.*\)|: \d+ Time\(s\))?\s*$
それが機能していないことに気付いたとき、昨日これを少し調整しました:
^%(pid)s (plain|login) authenticator failed for (\S+ )?\(\S+\) \[<HOST>\]: 535 Incorrect authentication data( \(set_id=.*\)|: \d+ Time\(s\))?\s*$
しかし、それもうまくいかないようでした。私のログ形式は次のようになります。
2015-06-30 11:37:31 login authenticator failed for (User) [194.63.140.62]: 535 Incorrect authentication data (set_id=general@mail.net)
2015-06-30 11:45:30 login authenticator failed for (User) [194.63.140.62]: 535 Incorrect authentication data (set_id=guest@mail.net)
2015-06-30 11:53:34 login authenticator failed for (User) [194.63.140.62]: 535 Incorrect authentication data (set_id=sample@mail.net)
私の正規表現の仕様に何か問題があると思いますか?