Я попытался написать регулярное выражение для fail2ban для моего exim почтового сервера, но я не могу получить никаких совпадений. даже в отложенном лог-файле.Fail2ban regex for exim
Вот строчка из моего exim_mainlog:
2014-09-18 16:34:30 dovecot_login authenticator failed for xx-xx-78-xx.dedicated.abac.net (User) [xx.xx.78.xx]:64298: 535 Incorrect authentication data (set_id=sexy)
2014-09-18 16:50:17 dovecot_login authenticator failed for (User) [xx.xx.xx.231]:9859: 535 Incorrect authentication data (set_id=evans)
2014-09-18 16:52:30 dovecot_login authenticator failed for (User) [xx.xx.16.128]:60350: 535 Incorrect authentication data (set_id=orange)
2014-09-18 17:10:19 dovecot_login authenticator failed for XXXX.onlinehome-server.com (User) [xx.xx.96.171]:52799: 535 Incorrect authentication data (set_id=matrix)
одни и те же записи в моем exim_rejectlog.
Вот фильтр я примерил как exim_mainlog и exim_reject войти
failregex = \[<HOST>\]: 535 Incorrect authentication data
Но я не получаю хитов даже от тех, которые находятся в rejectlog
Lines: 257 lines, 0 ignored, 0 matched, 257 missed
Im не очень хорошо подходит для регулярных выражений и будет признателен за любую помощь, чтобы сохранить этих спамеров.
Спасибо. Был быстрый ответ, и теперь он работает отлично. Любые подсказки по улучшению моего регулярного выражения? некоторые документы или вики? – user3778695
Добавлена информация к ответу с fail2ban git repo и exim.conf, который поставляется с ним по умолчанию. –