Доброго дня.

Нужна помощь в составлении регулярного выражения для fail2ban.

Часть лог-файла для обработки:

Надо отловить события вида:

• disconnected due to protocol error.
• disconnected, not authorised.
• disconnected: Protocol error.

И связанный с ними IP-адрес по строке вида:

2024-04-03 10:50:06: New connection from 101.36.97.172:50028 on port 1883.

Для похожего лог-файла было предложено решение вида:

maxlines = 10
failregex = ^\s*: New connection from <ADDR>:\d+ [^\n]*<SKIPLINES>^\s*: Client \S+ disconnected, not authorised\.

Может у кого-нибудь получится адаптировать его под указанный мной лог-файл…

И ещё вопрос: как для параметра failregex указать сразу несколько выражений для поиска?

Доброго дня.

На мини-пк типа малинка под управлением Debian вертится сервис mqtt, доступ к которому осуществляется как mqtts://ip:8883

Чтобы попытаться решить проблему, возможно связанную с этим сервисом, поддержка попросила перехватить и отфильтровать TCP пакеты по порту 8883 в LAN.

Я так понимаю, снифер надо поставить на сам мини-пк.

Есть какая-нибудь софтина или команда, позволяющая выполнить перехват-фильтрацию и сохранить это дело в лог-файл?