fail2ban и регулярное выражение

0

2

Здравствуйте! Имеется fail2ban по соседству с zimbra. Повадились неприятные личности ходить, хочу банить таких. Кусок лога ngnix.log для понимания:
2019/05/08 07:06:34 [error] 3683#0: *111054 An error occurred in mail zmauth: user not found:vinzavod-s@domain.ru while SSL handshaking to lookup handler, client: 197.210.130.186:51366 using starttls, server: 0.0.0.0:143, login: «vinzavod-s@domain.ru»

Соответственно в jail.conf я добавил следующее:

[zimbratest]
enabled = true
filter = zimbra
logpath = /opt/zimbra/log/ngnix.log
bantime = 3600
maxretry = 4

В zimbratest.conf я добавил вот такое выражение:

failregex = \[error\] \d+#\d+: \*\d+ An error occurred in mail zmauth: user not found:?(\S+).*client: <HOST>.*server:? (\S+), login:? \"(\S+)\"

Если брать лог как полагается, то есть /opt/zimbra/log/ngnix.log то я получаю на выходе

Lines: 1 lines, 0 ignored, 0 matched, 1 missed
|- Missed line(s):
|  /opt/zimbra/log/ngnix.log

Чтобы я не делал, я всегда получаю 1 lines, 0 ignored, 0 matched, 1 missed

Но если я создаю файлик на винде ngnix3.log и копирую туда все содержимое - то фильтр отрабатывает . Права на файл ngnix у рута есть, даже у самой zimbra есть , но ни под тем, ни под другим оригинальный файл ngnix.log он не парсить, буд-то не видит логов.

Помогите пожалуйста, я определенно делаю что-то не так, но никак не пойму что

Ссылка

давай правь своё сообщение, используй разметку LORCODE или Markdown, до публикации смотри через кнопку «Предпросмотр» что понаписал.

logpath = /opt/zimbra/log/ngnix.log
| /opt/zimbra/ngnix.log

это ты криво скопипастил или действительно два разных файла?

anonymous
(08.05.19 21:44:54 MSK)

Ответ на: комментарий от anonymous 08.05.19 21:44:54 MSK

Исправил все. а там да,криво скопипастил.

loreteso
(09.05.19 21:15:00 MSK) автор топика

Похожие темы