fail2ban 的正则表达式如何修改

2020-02-29 15:20:42 +08:00
 openbaby
用 fail2ban 阻止针对 dns 服务器的攻击,已知攻击日志如下
202.9.120.7#13620 (aaa.com): view g-1: rate limit drop SERVFAIL error response to 202.9.120.7/32
现需要用 fail2ban 自动拉黑此 ip,网上找的正则表达式是
failregex = <HOST>#\S+( \([\S.]+\))?\: rate limit drop
但与此日志不匹配,似乎是缺少 view 部分,请问如何修改此正则表达式使其匹配上述日志?谢谢
3197 次点击
所在节点    Linux
5 条回复
yylzcom
2020-02-29 15:23:58 +08:00
https://regexr.com/

推荐一个这个网站,测试正则比较好用
我一般都是无脑 .* 代替非关键部分(人菜凑合用)
consolejojo
2020-02-29 15:26:42 +08:00
用 fail2ban-regex 命令检查正则是否匹配。从简单的全部匹配尝试,慢慢接近需求,试试转义符号。
Tink
2020-02-29 15:40:21 +08:00
@yylzcom 同无脑,我是.*?
Telegram
2020-02-29 15:47:32 +08:00
哈哈,无脑+1
xjn17858906105
2020-02-29 20:51:50 +08:00
众所周知 .*无所不能

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/648612

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX