Всем привет, не закидывайте камнями, на форуме поискал похожую тему слегка, но увы.
Помогите на fail2ban настроить фильтр для парсинга лога с Exchange OWA. На тачке стоят - Centos 7, nginx/1.12.2, fail2ban 0.10
Хотелось бы, чтобы fail2ban реагировал на значение reason=2 из строчки события
192.168.1.185 - - [06/Feb/2020:13:21:45 +0300] "GET /owa/auth/logon.aspx?replaceCurrent=1&reason=2&url=https%3a%2f%2fowa.uniservis.org%2fowa HTTP/2.0" 200 59156 "https://owa.uniservis.org/owa/auth/logon.aspx?url=https%3a%2f%2fowa.uniservis.org%2fowa&reason=2" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36"
Но увы, пока толком не разберусь как именно вычленить это значение.
Сам сделал что-то типа такого, но не помогает.
failregex = <HOST> - - "GET /owa/auth/logon.aspx?replaceCurrent=1&reason=2"
Так выглядит само правило.
[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
banaction = iptables-multiport
logpath = /srv/web/my.name.service/log/owa-ssl-access.log
maxretry = 3
bantime = 172800
Заранее спасибо! Буду рад любому пинку в сторону решения проблемы.
