Você pode alterar a mensagem de log do fail2ban?

4

Eu tenho o fail2ban rodando em um servidor centos 6.8; tudo está bem. Escrevi um filtro simples para observar as kiddies de script, como:

[Definition]
failregex = <HOST> .*GET \/admin/config.php
        <HOST> .*GET \/blog\/
        <HOST> .*GET \/backup.sql.gz
        <HOST> .*GET \/backup.sql.bz2
        ...

Isso funciona bem e produz mensagens em /var/log/fail2ban.log como:

2017-04-19 11:12:40,333 fail2ban.filter         [7181]: INFO    [poison-attempts] Found 156.205.xxx.xxx
2017-04-19 11:12:40,900 fail2ban.actions        [7181]: NOTICE  [poison-attempts] Ban 156.205.xxx.xxx

Então: É possível alterar essas mensagens de log para que elas incluam o padrão que causou o disparo da regra? Talvez algo como:

2017-04-19 11:12:40,333 fail2ban.filter         [7181]: INFO    [poison-attempts] Found 156.205.xxx.xxx requesting /backup.sql.gz

ou algo similar? Não é grande coisa, mas seria bem legal. Obrigado!

    
por Jim Miller 19.04.2017 / 20:26

0 respostas

Tags