RegEx Problem mit Fail2Ban

[doublem]

Hallo zusammen,

ich bastel an einem RegEx für einen Filter in Fail2Ban, der aber leider nicht anschlägt.

Die entsprechende Zeile in der filter.conf lautet:

Code: Select all

failregex = ^<HOST>*(s)(404)(s)*$

Ein access_log Eintrag mit einem 404 Fehler wie z.b.

Code: Select all

82.252.27.100 - - [01/Dec/2008:20:42:34 +0100] "GET /test.pl HTTP/1.1" 404 207 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4"

soll den Filter "triggern".

Leider funktioniert die Erkennung mit meinem regulären Ausdruck nicht.

Wie muss der reguläre Ausdruck geändert werden?

Vielen Dank!

[Roger Wilco]

Folgendes schon gelesen?
http://www.fail2ban.org/wiki/index.php/Apache
http://www.fail2ban.org/wiki/index.php/ ... _8#Testing

[doublem]

Danke für den Tipp!

Ich habe zig Varianten mit "fail2ban-regex" ausprobiert und bekomme immer nur "sorry, no match".

Code: Select all

fail2ban-regex '98.222.17.100 - - [01/Dec/2008:20:32:43 +0100] "GET /robots.py HTTP/1.1" 404 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4"' '^<HOST>*(s)(404)(s)*'

Ich sehe wahrscheinlich den Wald vor lauter Bäumen nicht mehr.

Wie muss ich meine RegEx nur anpassen?

[Joe User]

In order for a log line to match your failregex, it actually has to match in two parts: the beginning of the line has to match a timestamp pattern or regex, and the remainder of the line has to match your failregex. If the failregex is anchored with a leading ^, then the anchor refers to the start of the remainder of the line, after the timestamp and intervening whitespace.

[doublem]

Vielen Dank für die Hinweise.

Die für eine Apache-Standardinstallation unter SUSE 11.0 gültige Fail2Ban RegEx lautet:

Code: Select all

failregex = <HOST>.*s(404)s

Damit werden alle 404-Anfragen getriggert.

Wichtig: Nicht vergessen, in der jail.conf die richtige Logdatei einzustellen, also

Code: Select all

/var/log/apache2/access_log