[Postfixbuch-users] fail2ban regexp für bind9-log
Scholz, Christian
cscholz at 2nibbles4u.de
So Mai 25 17:06:50 CEST 2008
Erstmal danke... leider klappt das irgendwie noch nicht so ganz...
fail2ban erkennt zwar eine Veränderung am Logfile, aber blockt nicht..
Pro geblockter DNS Anfrage schreibt fail2ban folgendes in seine logs:
2008-05-25 16:56:15,955 fail2ban.filter : DEBUG /var/cache/bind/bind_security.log has been modified
2008-05-25 16:56:15,956 fail2ban.filter : DEBUG Opened /var/cache/bind/bind_security.log
2008-05-25 16:56:15,956 fail2ban.filter : DEBUG Setting file position to 6272L for /var/cache/bind/bind_security.log
2008-05-25 16:56:15,957 fail2ban.filter.datedetector: DEBUG Sorting the template list
Wenn es ein Berechtigungs Problem wäre dürfte es die Veränderung doch garnicht bemerken, oder?
> > Doch leider scheitert es an der regexpl Zeile.
> > Im Log sieht ein Eintrag wiefolgt aus
> >
> > >> 25-May-2008 15:35:47.854 security: info: client
> 80.141.82.243#4797: query (cache)
> > 'google.de/A/IN' denied
>
> Bei PDNS benutze ich folgende :
>
> failregex = not authoritative for(.*)servfail(.*)<HOST>
> pdns\[.*\]: Not authoritative for '', sending servfail to
> <HOST>
>
> für bind versuch mal
>
> failregex = security: info: client <HOST>.*query (cache).*denied
Mehr Informationen über die Mailingliste Postfixbuch-users