Hi, I guess it's just that you have an extra space in your regexp,
...Query: LOGOUT $whereas the example log lines you've shown don't have that extra final space.
Hth, Iosif Fettich On Wed, 9 Sep 2015, Miroslav Geisselreiter wrote:
Hi all, I am not able to force fail2ban catch text which is UTF-8 encoded. See this example: failregex = ^%(__prefix_line)s\[ERROR\].*from <HOST>: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT $ Testing: fail2ban-regex /var/log/squirrelmail.log /etc/fail2ban/filter.d/squirrelmail-mg.conf Running tests ============= Use failregex filter file : squirrelmail-mg, basedir: /etc/fail2ban Use log file : /var/log/squirrelmail.log Use encoding : UTF-8 Results ======= Failregex: 0 total Ignoreregex: 0 total Date template hits: |- [# of hits] date format | [18] (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)? `- Lines: 18 lines, 0 ignored, 0 matched, 18 missed [processed in 0.00 sec] |- Missed line(s): | Sep 9 09:20:34 [LOGIN_ERROR] N/A (intar.cz) from 192.168.1.176: Pro přístup k této stránce musíte být přihlášen. | Sep 9 09:20:57 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 12:04:12 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 12:04:31 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 12:04:49 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 12:32:17 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 12:34:09 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 12:34:33 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Wed Sep 9 12:36:40 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 12:38:28 [LOGIN] mg (intar.cz) from 192.168.1.176: | Sep 9 12:39:35 [LOGOUT] mg (intar.cz) from 192.168.1.176: | Sep 9 12:51:55 [LOGIN] mg (intar.cz) from 192.168.1.176: | Sep 9 12:52:26 [LOGOUT] mg (intar.cz) from 192.168.1.176: | Sep 9 15:38:50 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 15:39:46 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 15:39:57 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT | Sep 9 16:34:29 [LOGIN] mg (intar.cz) from 192.168.1.176: | Sep 9 16:34:45 [LOGOUT] mg (intar.cz) from 192.168.1.176: I have to replace UTF-8 characters with dots to make it works: failregex = ^%(__prefix_line)s\[ERROR\].*from <HOST>: Chyba: Spojen. s IMAP serverem bylo p.eru.eno. Query: LOGOUT $ Running tests ============= Use failregex filter file : squirrelmail-mg, basedir: /etc/fail2ban Use log file : /var/log/squirrelmail.log Use encoding : UTF-8 Results ======= Failregex: 11 total |- #) [# of hits] regular expression | 2) [11] ^\s*(<[^.]+\.[^.]+>)?\s*(?:\S+ )?(?:kernel: \[ *\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?\S*(?:\(\S+\))?[\]\)]?:?|[\[\(]?\S*(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:?)?\s(?:\[ID \d+ \S+\])?\s*\[ERROR\].*from <HOST>: Chyba: Spojen. s IMAP serverem bylo p.eru.eno. Query: LOGOUT $ `- Ignoreregex: 0 total Date template hits: |- [# of hits] date format | [18] (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)? `- Lines: 18 lines, 0 ignored, 11 matched, 7 missed [processed in 0.00 sec] |- Missed line(s): | Sep 9 09:20:34 [LOGIN_ERROR] N/A (intar.cz) from 192.168.1.176: Pro přístup k této stránce musíte být přihlášen. | Sep 9 12:38:28 [LOGIN] mg (intar.cz) from 192.168.1.176: | Sep 9 12:39:35 [LOGOUT] mg (intar.cz) from 192.168.1.176: | Sep 9 12:51:55 [LOGIN] mg (intar.cz) from 192.168.1.176: | Sep 9 12:52:26 [LOGOUT] mg (intar.cz) from 192.168.1.176: | Sep 9 16:34:29 [LOGIN] mg (intar.cz) from 192.168.1.176: | Sep 9 16:34:45 [LOGOUT] mg (intar.cz) from 192.168.1.176: grep this text works fine: # grep "Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT" /var/log/squirrelmail.log Sep 9 09:20:57 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Sep 9 12:04:12 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Sep 9 12:04:31 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Sep 9 12:04:49 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Sep 9 12:32:17 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Sep 9 12:34:09 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Sep 9 12:34:33 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Wed Sep 9 12:36:40 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Sep 9 15:38:50 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Sep 9 15:39:46 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Sep 9 15:39:57 [ERROR] N/A (intar.cz) from 192.168.1.176: Chyba: Spojení s IMAP serverem bylo přerušeno. Query: LOGOUT Tested on CentOS 5, 6 nad 7 with fail2ban-0.8.14-1.el5, fail2ban-0.9.2-1.el6.noarch, fail2ban-0.9.2-1.el7.noarch Can anybody help? -- Miroslav Geisselreiter IT administrator ------------------------------------------------------------------------------ Monitor Your Dynamic Infrastructure at Any Scale With Datadog! Get real-time metrics from all of your servers, apps and tools in one place. SourceForge users - Click here to start your Free Trial of Datadog now! http://pubads.g.doubleclick.net/gampad/clk?id=241902991&iu=/4140 _______________________________________________ Fail2ban-users mailing list [email protected] https://lists.sourceforge.net/lists/listinfo/fail2ban-users
------------------------------------------------------------------------------ Monitor Your Dynamic Infrastructure at Any Scale With Datadog! Get real-time metrics from all of your servers, apps and tools in one place. SourceForge users - Click here to start your Free Trial of Datadog now! http://pubads.g.doubleclick.net/gampad/clk?id=241902991&iu=/4140
_______________________________________________ Fail2ban-users mailing list [email protected] https://lists.sourceforge.net/lists/listinfo/fail2ban-users
