[Postfixbuch-users] fail2ban regexp für bind9-log
Stefan Förster
cite at incertum.net
So Mai 25 17:45:35 CEST 2008
* "Scholz, Christian" <cscholz at 2nibbles4u.de> wrote:
> Ich hab gerade versucht, per fail2ban verweigerte DNS Anfragen zu blocken.
> Doch leider scheitert es an der regexpl Zeile.
> Im Log sieht ein Eintrag wiefolgt aus
>
>>> 25-May-2008 15:35:47.854 security: info: client 80.141.82.243#4797: query (cache) 'google.de/A/IN' denied
>
> kann mir da jemand helfen?
Wäre es nicht einfacher, das Log mittels eines Präprozessors zu
betrachten? Wobei "Präprozessor" hier nur ein hochtrabender Name für
"grep" ist:
egrep -v "query.*denied" /var/log/bind9/security.log | less
Das hätte den Vorteil, daß die Logauswertung nur erfolgt, wenn es auch
wirklich von einem Menschen betrachtet wird. Ansonsten würde sich evt.
anbieten, das Logging dieser Requests ganz zu deaktiveren, wenn es
zuviel Rechenzeit oder I/O-Performance kostet. Das ganze ist unter
<http://www.isc.org/sw/bind/arm94/Bv9ARM.ch06.html#id2574782>
dokumentiert.
Ciao
Stefan
--
Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9
FdI #251: Hochglanz-Verkaufsprospekt - Das Produkt befindet sich gerade in der
allerersten Konzeptionsphase. (Patrick Piecha)
Mehr Informationen über die Mailingliste Postfixbuch-users