fail2ban failregex синтаксис

https://fail2ban.readthedocs.io/en/latest/filters.html

use functionality of Python regexes defined in the standard Python re library http://docs.python.org/2/library/re.html;

Плз, кто в теме, есть строка, правильно ли она описана?

2024/08/27 23:06:55 DEB [RTSP] [conn 127.0.0.1:44480] [s->c] RTSP/1.0 401 Unauthorized


fileregex=.* DEB \[RTSP\] \[conn <HOST>:[0-9]+\] \[s->c\] RTSP/1\.0 401 Unauthorized

https://regex101.com/

conn 127.0.0.1:44480

И что вы будите банить 127.0.0.1 ?

это тестовая строка, можно заменить на любой ip и порт

нашел неплохую статью по этому вопросу

https://www3.ntu.edu.sg/home/ehchua/programming/howto/Regexe.html

…

тут есть примеры по синтаксису и настройкам fail2ban

http://togusak.ddnss.de/jail.conf

Там обычные питоновского регулярки (в какой-то мере Perl-совместимые, но не полностью), потому как fail2ban написан на питоне

https://dedetoknotes.blogspot.com/2016/08/fail2ban-blocking-pre-authentication-on.html

Там еще форматирование питоновских строк используется: %(variable_name)s. Не все так просто. Надо еще указывать каретку ^ и $ в начале и конце строки

что-то лыжи не едут))) задача усложнилась. есть аж 2 строки

2024/10/11 21:20:13 DEB [RTSP] [conn 91.193.177.93:21564] [s->c] RTSP/1.0 401 Unauthorized
CSeq: 2

сделал так

^.* DEB \[RTSP\] \[conn <HOST>:\d+\] \[s->c\] RTSP\/1\.0 401 Unauthorized\nCSeq: 2$

эмулятор находит, а f2b не находит, а без \nCSeq: 2 находит, но это нужный признак. Есть мысли?

есть прога /usr/bin/fail2ban-regex вот с ней и тренируйтесь через параметры ловить регэкспы.

на этом и не работает)))

есть сроки по отдельности, то все норм. видит.

если вместе, то не видит. Возможен ли анализ в f2b подряд двух строк как одной?

Решение вопроса в мультилайн f2b

файл фильтра ххх.local для 2х строк должен выглядеть так:

[Init]
maxlines = 2

[Definition]
failregex = .* DEB \[RTSP\] \[conn <HOST>:\d+\] \[s->c\] RTSP\/1\.0 401 Unauthorized\nCSeq: 2
ignoreregex =