On 20.08.2012 11:17, Maciej Kóska wrote:
Witam wszystkich,
Mam problem z poprawieniem wyrażenia regularnego do fail2ban
obsługującego poniższe logi z binda
19-Aug-2012 00:18:40.307 client 89.42.216.134#36057: query (cache)
'isc.org/ANY/IN' denied
19-Aug-2012 00:18:40.340 client 86.106.30.138#24134: query (cache)
'isc.org/ANY/IN' denied
19-Aug-2012 00:18:40.390 client 89.42.216.134#38427: query (cache)
'isc.org/ANY/IN' denied
19-Aug-2012 00:18:40.425 client 86.106.30.138#60585: query (cache)
'isc.org/ANY/IN' denied
To co jest jako regexp w fail2ban obecnie (domyślne w squeeze), wygląda
jak poniżej ale nie wychwytuje mi tego co powyżej – czy ktoś może pomóc ?
failregex = %(__line_prefix)sclient #.+: query(?: \(cache\))? '.*'
denied\s*$
Jeśli to PCRE, a tak wygląda, to prawdopodobnie chodzi o to, że jest
sclient zamiast \sclient, czyli powinno być:
failregex = %(__line_prefix)\sclient #.+: query(?: \(cache\))?
'.*' denied\s*$
Uwaga na łamanie linii.
Przy czym %(__line_prefix) i nie należą do regexpa i pochodzą z
zewn. programu.
Super by było jakby ktoś miał, jakiś mały tutorial odnośnie pisania
wyrażeń regularnych – nauczę się na przyszłość :)
http://bit.ly/U0VWeN
Pozdrawiam,
Paweł
--
To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50387dd2.4020...@wp.pl