Приветствую!
Есть чанга 2013, которая стоит за reverse proxy на nginx.
Хочу, чтобы fail2ban читал логи чанги. Единственное, что пришло в голову, расшарить папку с логами IIS и дальше я в затруднении.
На мой взгляд, есть 2 пути:
Через определенные промежутки времени копировать содержимое актуального лога IIS в какой-нибудь локальный файл и его путь уже указывать в jail.local.
Как-то сразу парсить актуальный логфайл IIS. Здесь я в затруднии, поскольку там их туева хуча (каждый день создается новый файл и как это указать в jail.local, я хз)
Если идти по первому пути, там работает переменная, которая как раз и формирует правильное имя файла (u_ex230323.log например).
Сейчас сделано по первому варианту. каждые 5 минут содержимое лога OWA парситься на предмет строки содержащей ‘reason=2’ (чтобы было меньше информации) и записывается в файл /owa/owa.log, который уже и анализирует fail2ban…
__фрагмент файла jail.local:
[owa-http-auth]
enabled = true
filter = owa-http-auth
port = http,https
banaction = iptables-multiport
logpath = /owa/owa.log
maxretry = 3
bantime = 1800 …
__файл фильтра owa-http-auth:
[Definition]
failregex = (здесь угловые скобки и слово HOST) - - «GET /owa/auth/logon.aspx?replaceCurrent=1&reason=2»
ignoreregex = …
Но фильтр не работает…
Что-то можете посоветовать?