タイムスタンプ

Question

最初。これは（おそらく）答えではありませんが、コメント（そして少し長い）よりも良いかもしれません。

タイムスタンプ

あなたの声明を見つける：

実際には、すべてのタイムラインでファイルを検索して操作を続けることができます。

文書と競合します。どういう意味ですか働く？

失敗した正規表現を直接作成するには、次の点に注意する必要があります。

[...]

ログ行が失敗した正規表現と一致するには、実際には2つの部分が一致する必要があります。行の先頭はタイムスタンプパターンまたは正規表現と一致する必要があります。、残りの行は失敗した正規表現と一致する必要があります。Failregexが前に^に固定されている場合、アンカーはタイムスタンプと中間スペースの後ろの残りの行の先頭を参照します。

タイムスタンプに一致するパターンまたは正規表現は現在記録されておらず、ユーザーが読み取ったり設定したりすることはできません。バラよりDebian のバグ #491253。ログに行が一致しないため、失敗2banが予期しないタイムスタンプ形式を持っている場合、問題が発生します。したがって、サンプルログ行（以下の例を参照）に対して失敗した新しい正規表現をテストして、一致することを確認する必要があります。Fail2banがログタイムスタンプを認識しない場合は、2つのオプションがあります。上記のログの例のように、ロギングでより一般的なタイムスタンプ形式を使用するようにデーモンを再設定するか、タイムスタンプ形式を要求するバグレポートを送信してください。

ログファイルは次のようになります。設定タイムスタンプも含む滞在タイムスタンプ。 (含む情報コメントで述べたように。 )

また、このスレッド、特にメッセージ＃14と＃19も参照してください。

fail2ban：時間パターンの一致は文書化されておらず、ユーザーは使用できません。

2つの例：

次のコマンドを使用してテストすることもできます。

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

1タイムスタンプなし：

$ fail2ban-regex ' [1.2.3.4] authentication failed' '\[<HOST>\] authentication failed'

Running tests
=============

Use   failregex line : \[<HOST>\] authentication failed
Use      single line :  [1.2.3.4] authentication failed


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:

Lines: 1 lines, 0 ignored, 0 matched, 1 missed
|- Missed line(s):
|   [1.2.3.4] authentication failed
`-

タイムスタンプ付き2つ：

$ fail2ban-regex 'Jul 18 12:13:01 [1.2.3.4] authentication failed' '\[<HOST>\] authentication failed'

Running tests
=============

Use   failregex line : \[<HOST>\] authentication failed
Use      single line : Jul 18 12:13:01 [1.2.3.4] authentication failed


Results
=======

Failregex: 1 total
|-  #) [# of hits] regular expression
|   1) [1] \[<HOST>\] authentication failed
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [1] MONTH Day Hour:Minute:Second
`-

Lines: 1 lines, 0 ignored, 1 matched, 0 missed

スキャン数

手動＃反応時間:

反応時間を評価することは非常に困難です。 Fail2ban 待機中1秒スキャンする新しいログを確認する前に。ほとんどの場合は大丈夫です。ただし、maxretryで指定されたものよりも多くのログイン失敗が発生する可能性があります。

これに関しては、このスレッドを参照してください。Re: Bug#481265: failure2ban: ポーリング間隔を設定できません。。

しかし、次にオプションですが推奨されるソフトウェア一度Garminを見つけた。

Gaminはファイル変更モニタです。 Gaminは「inotify」アクティベーションカーネルを使用することで大きな利点を得ます。したがって、ファイルを変更するためのアクティブなポーリングは必要なくなりました。

Gaminがインストールされておりbackend、jail.conf車（または賭ける) - Gaminを使用します。

Answer 1

最初。これは（おそらく）答えではありませんが、コメント（そして少し長い）よりも良いかもしれません。

タイムスタンプ

あなたの声明を見つける：

実際には、すべてのタイムラインでファイルを検索して操作を続けることができます。

文書と競合します。どういう意味ですか働く？

手動＃filters（v 0.8）ステータス:

失敗した正規表現を直接作成するには、次の点に注意する必要があります。

[...]

ログ行が失敗した正規表現と一致するには、実際には2つの部分が一致する必要があります。行の先頭はタイムスタンプパターンまたは正規表現と一致する必要があります。、残りの行は失敗した正規表現と一致する必要があります。Failregexが前に^に固定されている場合、アンカーはタイムスタンプと中間スペースの後ろの残りの行の先頭を参照します。

タイムスタンプに一致するパターンまたは正規表現は現在記録されておらず、ユーザーが読み取ったり設定したりすることはできません。バラよりDebian のバグ #491253。ログに行が一致しないため、失敗2banが予期しないタイムスタンプ形式を持っている場合、問題が発生します。したがって、サンプルログ行（以下の例を参照）に対して失敗した新しい正規表現をテストして、一致することを確認する必要があります。Fail2banがログタイムスタンプを認識しない場合は、2つのオプションがあります。上記のログの例のように、ロギングでより一般的なタイムスタンプ形式を使用するようにデーモンを再設定するか、タイムスタンプ形式を要求するバグレポートを送信してください。

ログファイルは次のようになります。設定タイムスタンプも含む滞在タイムスタンプ。 (含む情報コメントで述べたように。 )

また、このスレッド、特にメッセージ＃14と＃19も参照してください。

fail2ban：時間パターンの一致は文書化されておらず、ユーザーは使用できません。

2つの例：

次のコマンドを使用してテストすることもできます。

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

1タイムスタンプなし：

$ fail2ban-regex ' [1.2.3.4] authentication failed' '\[<HOST>\] authentication failed'

Running tests
=============

Use   failregex line : \[<HOST>\] authentication failed
Use      single line :  [1.2.3.4] authentication failed


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:

Lines: 1 lines, 0 ignored, 0 matched, 1 missed
|- Missed line(s):
|   [1.2.3.4] authentication failed
`-

タイムスタンプ付き2つ：

$ fail2ban-regex 'Jul 18 12:13:01 [1.2.3.4] authentication failed' '\[<HOST>\] authentication failed'

Running tests
=============

Use   failregex line : \[<HOST>\] authentication failed
Use      single line : Jul 18 12:13:01 [1.2.3.4] authentication failed


Results
=======

Failregex: 1 total
|-  #) [# of hits] regular expression
|   1) [1] \[<HOST>\] authentication failed
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [1] MONTH Day Hour:Minute:Second
`-

Lines: 1 lines, 0 ignored, 1 matched, 0 missed

スキャン数

手動＃反応時間:

反応時間を評価することは非常に困難です。 Fail2ban 待機中1秒スキャンする新しいログを確認する前に。ほとんどの場合は大丈夫です。ただし、maxretryで指定されたものよりも多くのログイン失敗が発生する可能性があります。

これに関しては、このスレッドを参照してください。Re: Bug#481265: failure2ban: ポーリング間隔を設定できません。。

しかし、次にオプションですが推奨されるソフトウェア一度Garminを見つけた。

Gaminはファイル変更モニタです。 Gaminは「inotify」アクティベーションカーネルを使用することで大きな利点を得ます。したがって、ファイルを変更するためのアクティブなポーリングは必要なくなりました。

Gaminがインストールされておりbackend、jail.conf車（または賭ける) - Gaminを使用します。

タイムスタンプ

ベストアンサー1

タイムスタンプ

2つの例：

1タイムスタンプなし：

タイムスタンプ付き2つ：

スキャン数

おすすめ記事