Мне нужна была помощь, чтобы создать регулярное выражение для failregex, чтобы найти и заблокировать исходный IP-адрес (например, SRC = 192.168 .0.1 и заблокировать IP 192.168.0.1) из этого журнала:
[ATT] Подозреваемый: IN = eth0 OUT = {{ 1}} MAC = xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: xx SRC = 192.168.0.1 DST = 192.168.0.100 LEN = 37 TOS = 0x00 PREC = 0x00 TTL = 13 ID = 56037 PROTO = TCP SPT = 21 DPT = 35 LEN = 60
Заранее спасибо
Предполагается, что часть [ATT] Suspect:
указывает, что вы хотите сопоставить эту запись:
^\[ATT\] Suspect: .*SRC=<HOST>