Fail2ban: Hinzufügung des Datumsmusters in der Filterdatei

Wie parse ich das Datumsmuster?

Ihr Muster könnte zum Beispiel '^[%d-%b-%Y_%H:%M:%S,%f]' lauten.

Beachten Sie, dass Sie es in den Konfigurationsdateien mit doppeltem Prozentzeichen angeben sollten, wie:

datepattern = ^\[%%d-%%b-%%Y_%%H:%%M:%%S,%%f\]

PoC:

$ fail2ban-regex -v -d '^\[%d-%b-%Y_%H:%M:%S,%f\]' "$str" 'from ip : <HOST>'

Running tests
=============

Use      datepattern : ^\[Day-MON-Year_24hour:Minute:Second,Microseconds\]
Use   failregex line : from ip : <HOST>
Use      single line : [06-Jun-2018_17:07:42,500] [INFO] [mithi.mcs.auth....


Results
=======

Failregex: 1 total
|-  #) [# of hits] regular expression
|   1) [1] from ip : <HOST>
|      192.168.0.124  Wed Jun 06 17:07:42 2018
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [1] ^\[Day-MON-Year_24hour:Minute:Second,Microseconds\]
`-

Lines: 1 lines, 0 ignored, 1 matched, 0 missed
[processed in 0.00 sec]

Beachten Sie auch, dass fail2ban das mit Datum und Uhrzeit übereinstimmende Datumsmuster aus der Zeichenfolge ausschneidet, bevor die Übereinstimmung nach failregex gesucht wird.

Bonus-Frage

Bonus-Antwort - Lesen Sie das Handbuch, beginnen Sie beispielsweise mit Regular Expression Syntax :: Python-Dokumentation .
Zum Beispiel können Ihre protokollierten Ports: smtp,pop3,imap so etwas wie sein
for service : (?:SMTP|POP3|IMAP|null) from ip ,
oder einfach als Nicht-Leerzeichen \S+ Regex:
for service : \S+ from ip ...

Das hat gut funktioniert, danke Sir
Eine andere Frage, ich habe ein Ignorier-Regex-Muster für die obigen Protokolle, das dem Rückgabecode entgeht: 114.
ignoreregex = .*(?:Return Code : 114.).*
Der obige Befehl "ignoreregex" funktioniert einwandfrei, um den Rückgabecode zu umgehen: 114.
Die Frage ist also, wie erwähne ich den obigen Ignoreregex in Failregex selbst, um alle Codes zu erfassen, aber nicht 114, um die Berechnung von Ignoreregex zu vermeiden?
Die Failregex, die für alle Codes funktioniert, ist - (funktioniert)
failregex = (?:for service :).* (?:smtp|POP|IMAP|null).*(?:from ip : <HOST>).*(?: finished with status : Failure.).*(?:Return Code : ).*
Die Failregex, die alle Codes außer 114 erhalten soll, ist - (funktioniert nicht)
Bisher habe ich versucht,

> failregex = (?:for service :).* (?:smtp|POP|IMAP|null).*(?:from ip : <HOST>).*(?: finished with status : Failure.).*(?!.*Return Code : 114.).*

So etwas wie .*(?!.*Return Code : 114.).* wird niemals funktionieren (geschweige denn, es ist verwundbar), denn catch all .* findet immer etwas, zB mit something. Return Code : 114. kann es ziemlich gut something. R fangen und der Rest eturn Code : 114. stimmt nicht mit Ihrer negativen Vorausschau überein.

Sie sollten also nur ein genaueres Muster verwenden:

>>> import re
>>> cr = re.compile(r"\S+\. Return Code : (?!114)\d+\.")
>>> print(bool(cr.match("something. Return Code : 108.")))
True
>>> print(bool(cr.match("something. Return Code : 114.")))
False

Und last but not least, verwenden Sie keine Catch-alls und versuchen Sie Regex zu verankern (zumindest von einer Seite, zB von begin ^... oder von beiden ^...$ , beachten Sie .*$ oder ^.* sind keine Anker und machen keinen Sinn).
Seien Sie also bei Regex präziser, insbesondere wenn einige fremde (Benutzer-) Eingaben in der Protokollzeile vorkommen können. Andernfalls machen Sie es anfällig für Eindringlinge (z. B. durch Manipulation der Leitung, er könnte eine Erkennung vermeiden oder sogar das Sperren einer anderen IP anstelle seiner echten IP erzwingen.

Wie implementiere ich es in Fail Regex? Ich habe in meinem vorherigen Kommentar eine funktionierende Regex für alle Zahlen bereitgestellt, ich möchte eine implementieren, die 114 in der Failregex selbst ignoriert. Danke für deine Zeit und Hilfe :)

Entschuldigung, keine Zeit für ATM, um Ihre Regex vollständig zu korrigieren. Und ich mache aus Prinzip keine schnellen und schmutzigen Lösungen.
Probieren Sie stackoverflow-ähnliche Seiten aus.

Hier sind Sie ja:

^\s*\[\S+\]\s+\[[^\]]+\]\s+-\s+<Authentication for user : \S+[^:]* for service : \S+ from ip : <HOST> finished with status :  Failure\.\s+(?:[^.]+\.)* Return Code : (?!114)\d+\.

Aber ein etwas genauerer möglicher Filter sieht so aus:

[Definition]

# services (smtp,imap,etc,...):
_services = (?:\S+)

# all errors (not-precise):
#_errors = (?:[^.]+\.)*
# only expected errors (more precise), example:
#_errors = (?:unknown status|authenication error|something else)\.
_errors = (?:unknown status)\.

# return-codes (any excepting 114):
_ret_codes = (?!114)\d+

failregex = ^\s*\[\S+\]\s+\[[^\]]+\]\s+-\s+<Authentication for user : \S+[^:]* for service : %(_services)s from ip : <HOST> finished with status :  Failure\.\s+%(_errors)s Return Code : %(_ret_codes)s\.

[Init]

datepattern = ^\[%%d-%%b-%%Y_%%H:%%M:%%S,%%f\]

Sie haben 3 zusätzliche Interpolationsvariablen (beginnend mit Unterstrich), um zu steuern, was genau verboten werden soll.
Sie können auch die erste (kommentierte) _errors -Ersetzung für alle möglichen Fehler verwenden, aber wie der Kommentar sagt - es ist nicht präzise ... und ich mag eine solche Lockerung nicht, ohne nach dem Format aller möglichen zu suchen Protokollnachrichtenformate dort.
Aber ich glaube, Sie können diese Liste wie im obigen Beispiel selbst erweitern.

Die failregex ist jetzt in der Lage, die Arbeit von ignoreregex in sich selbst zu erledigen !!
Ich verstehe, dass die Ignoreregex-Funktion dafür bereitgestellt wird, um die verfügbaren Funktionen zu verdeutlichen.
Das obige Beispiel hat deutlich gemacht, wie flexibel der Filter bei verschiedenen Szenarien sein kann.
Danke für deine Zeit und Hilfe.
Guten Tag Herr :)