EXIM的Fail2Ban正则表达式(TCP / IP连接计数)
[英]Fail2Ban regex for EXIM (TCP/IP connection count)
问题描述
我正在尝试为Fail2Ban的exim筛选器创建一个正则表达式条件。 在我的进出口日志中,我有以下条目:
2014-11-27 17:09:05来自[42.117.255.244]的SMTP连接(TCP / IP连接计数= 1)
2014-11-27 17:09:14来自[118.68.249.18]的SMTP连接(TCP / IP连接计数= 2)
2014-11-27 17:09:15来自[113.188.85.220]的SMTP连接(TCP / IP连接计数= 3)
因此,我需要一个用于分析exim日志的正则表达式过滤器,并且如果TCP / IP连接计数> 3,则fail2ban将在fail2ban配置中指定的时间内阻止该ip。
到目前为止我尝试过的是这样的:
failregex = ^%(pid)s来自\\ S + [](:\\ d +)的SMTP连接? (I = [\\ S +]:\\ d +)?(TCP / IP连接计数=“ \\ S +”)\\ s * $
但是它失败了。。。我对正则表达式没有任何帮助,所以我需要您的帮助。
谢谢!
1 个解决方案
解决方案1
0 2014-11-27 15:34:04
[ \S]+?SMTP connection from \S+? \(TCP\/IP connection count = (?!\b1\b|\b2\b|\b3\b)\d+\)
试试看。看演示。
Fail2ban正则表达式
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.