Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: помогите подружить fail2ban и OWA  (Прочитано 8401 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Mr. Toad

  • Автор темы
  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
помогите подружить fail2ban и OWA
« : 23 Марта 2023, 16:56:06 »
Приветствую!
Есть чанга 2013, которая стоит за reverse proxy на nginx.

Хочу, чтобы fail2ban читал логи чанги. Единственное, что пришло в голову, расшарить папку с логами IIS и дальше я в затруднении.

На мой взгляд, есть 2 пути:

Через определенные промежутки времени копировать содержимое актуального лога IIS в какой-нибудь локальный файл и его путь уже указывать в jail.local.

Как-то сразу парсить актуальный логфайл IIS. Здесь я в затруднии, поскольку там их туева хуча (каждый день создается новый файл и как это указать в jail.local, я хз)

Если идти по первому пути, там работает переменная, которая как раз и формирует правильное имя файла (u_ex230323.log например).

Сейчас сделано по первому варианту. каждые 5 минут содержимое лога OWA парситься на предмет строки содержащей ‘reason=2’ (чтобы было меньше информации) и записывается в файл /owa/owa.log, который уже и анализирует fail2ban…

__фрагмент файла jail.local:
[owa-http-auth]
enabled = true
filter = owa-http-auth
port = http,https
banaction = iptables-multiport
logpath = /owa/owa.log
maxretry = 3
bantime = 1800 …

__файл фильтра owa-http-auth:
[Definition]

failregex = (здесь угловые скобки и слово HOST) - - «GET /owa/auth/logon.aspx?replaceCurrent=1&reason=2»

ignoreregex = …

Но фильтр не работает…
Что-то можете посоветовать?
« Последнее редактирование: 28 Марта 2023, 13:12:18 от Mr. Toad »

 

Страница сгенерирована за 0.045 секунд. Запросов: 25.