fail2ban 的正则表达式如何修改
- 0次
- 2021-06-18 18:37:04
- idczone
用 fail2ban 阻止针对 dns 服务器的攻击,已知攻击日志如下
202.9.120.7#13620 (aaa.com): view g-1: rate limit drop SERVFAIL error response to 202.9.120.7/32
现需要用 fail2ban 自动拉黑此 ip,网上找的正则表达式是
failregex = #\S+( \([\S.]+\))?\: rate limit drop
但与此日志不匹配,似乎是缺少 view 部分,请问如何修改此正则表达式使其匹配上述日志?谢谢
https://regexr.com/
推荐一个这个网站,测试正则比较好用
我一般都是无脑 .* 代替非关键部分(人菜凑合用)
用 fail2ban-regex 命令检查正则是否匹配。从简单的全部匹配尝试,慢慢接近需求,试试转义符号。
同无脑,我是.*?
哈哈,无脑+1
众所周知 .*无所不能