"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

[HELP] OpenVPN mit fail2ban regex überwachen

jawollja 23.11.2013 - 14:51 4823 2
Posts

jawollja

Bloody Newbie
Registered: Nov 2013
Location: Germany
Posts: 16
Hi,

vielleicht findet sich ja hier jemand, der sich damit auskennt.
Ich versuche OpenVPN mit fail2ban zu überwachen und fehlgeschlagene Login-Versuche zu blocken.

Die Nachricht im log, auf die angesprungen werden soll sieht wie folgt aus:
Code:
Sat Nov 23 13:25:51 2013 192.168.0.123:63903 TLS Auth Error: Auth Username/Password verification failed for peer

Dazu muss eine regex angelegt werden, die diesen Eintrag erkennt.
Habe mir die regex der anderen Filter angeschaut, gegoogelt, alles mögliche rumprobiert aber ich bekomme kein match beim testen der regex.
Manchmal kam ein match, jedoch wurde dann eine falsche IP angezeigt. Vielleicht spielt da das Datum am Anfang mit rein?
Ich hab leider wenig Ahnung von regex und bin mit meinem Latein ein wenig am ende.

Kennt sich damit vielleicht jemand aus und kann weiterhelfen?

Danke schonmal

//Edit: ein Beispiel:
folgende regex:
Code:
fail2ban-regex 'Sat Nov 23 13:25:51 2013 192.168.0.123:63903 TLS Auth' '^.*<HOST>:.*'

liefert folgendes Ergebnis:
Code:
Running tests
=============

Use regex line : ^.*<HOST>:.*
Use single line: Sat Nov 23 13:25:51 2013 192.168.0.123:63903 TLS Auth


Results
=======

Failregex
|- Regular expressions:
|  [1] ^.*<HOST>:.*
|
`- Number of matches:
   [1] 1 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
    0.0.0.3 (Sat Nov 23 13:25:51 2013)

Date template hits:
2 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Year.Month.Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/Year@Hour:Minute:Second>

Success, the total number of match is 1

However, look at the above section 'Running tests' which could contain important
information.
Bearbeitet von jawollja am 23.11.2013, 15:02

Denne

Here to stay
Avatar
Registered: Jan 2005
Location: Germany
Posts: 2801
Ich kann dir da leider nicht helfen, aber der Threadtitel könnte etwas aussagekräftiger sein :)

jawollja

Bloody Newbie
Registered: Nov 2013
Location: Germany
Posts: 16
Sorry!
Titel war richtig, jedoch hat mir da ein Auto-Vervollständigungs-Plugin zwischengefunkt -.-
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz