Вопросы Теги

Фильтр Fail2ban для mongodb

Версия Fail2Ban: 0.10.2

Я пробовал много файлов конфигурации фильтров для сбоя удаленной аутентификации MongoDB, ни один из них не работал, я решил, что проблема в failregex, и я не могу придумать правильное регулярное выражение. 

{"$date":"2021-08-10T17:27:13.498+05:30"},"s":"I",  "c":"ACCESS",   "id":20249,   "ctx":"conn187","msg":"Authentication failed","attr":{"mechanism":"SCRAM-SHA-256","speculative":true,"principalName":"Admin","authenticationDatabase":"admin","remote":"123.456.789.123:60054","extraInfo":{},"error":"AuthenticationFailed: SCRAM authentication failed, storedKey mismatch"}}

Это журнал монго, который я получил при неудачной попытке. Я пробовал использовать , в регулярном выражении, но дает 0.0.0.0, а дает 3: 6005 (последняя цифра IP и 4 цифры порта).

Какое регулярное выражение будет правильным для фильтрации этого журнала?

Регулярное выражение, которое я пробовал 

^(.*Authentication failed.*)|(.*<ADDR>.*)|$
^(.*Authentication failed.*)|(.*<HOST>.*)|$
1
задан 10 August 2021 в 13:53
1 ответ
  1. https://github.com/fail2ban/fail2ban/issues/2932
  2. https://github.com/fail2ban/fail2ban/issues/3046

кратко:

[Definition]

datepattern = ^\{"t":\{"\$date":"%%Y-%%m-%%dT%%H:%%M:%%S\.%%f%%z"}\s*,\s*
_groupre = (?:"(?!(?:msg|attr|client|remote)\b)\w+":(?:"[^"]+"|\w+)\s*[,\}]\s*)
failregex = ^%(_groupre)s*"msg":"Authentication failed"\s*,\s*%(_groupre)s*"attr"\s*:\s*\{%(_groupre)s*"(?:client|remote)":"<ADDR>:\d+"
0
ответ дан 11 August 2021 в 17:56

Теги

Похожие вопросы