filter/action 中的高级 fail2ban 参数
Advanced fail2ban parameters in filter/action
我有 fail2ban 运行 保护我们的 freeswitch 服务器免受攻击。当一个 IP 地址登录失败次数过多时,它就会被禁止。
我想收到有关哪个帐户受到攻击的通知 - 而不仅仅是 IP 地址。
所以日志行可能是
2015-09-11 08:27:40.212155 [警告] sofia_reg.c:1477 [kloch@inbox.ru 的 sofia 配置文件 'internal' 上的 SIP 身份验证失败(注册) @004-2025.sb12.dmclub.org] 来自 ip 78.31.75.181
我想发送一封包含 [kloch@inbox.ru@004-2025.sb12.dmclub.org] 位的电子邮件(或一些 php 脚本 运行)(甚至整行)
这可能吗?
我的猜测是它不是,只是由于来自同一主机的多行数据流,所以我没有屏住呼吸! ;-)
如果您将 fail2ban 配置为使用 action_mwl 操作快捷方式,它将向您发送一封包含 whois 信息和完整日志行的邮件。
在 /etc/fail2ban/jail.conf 中,确保 action 设置为:
action = %(action_mwl)s
我有 fail2ban 运行 保护我们的 freeswitch 服务器免受攻击。当一个 IP 地址登录失败次数过多时,它就会被禁止。 我想收到有关哪个帐户受到攻击的通知 - 而不仅仅是 IP 地址。
所以日志行可能是
2015-09-11 08:27:40.212155 [警告] sofia_reg.c:1477 [kloch@inbox.ru 的 sofia 配置文件 'internal' 上的 SIP 身份验证失败(注册) @004-2025.sb12.dmclub.org] 来自 ip 78.31.75.181
我想发送一封包含 [kloch@inbox.ru@004-2025.sb12.dmclub.org] 位的电子邮件(或一些 php 脚本 运行)(甚至整行)
这可能吗?
我的猜测是它不是,只是由于来自同一主机的多行数据流,所以我没有屏住呼吸! ;-)
如果您将 fail2ban 配置为使用 action_mwl 操作快捷方式,它将向您发送一封包含 whois 信息和完整日志行的邮件。
在 /etc/fail2ban/jail.conf 中,确保 action 设置为:
action = %(action_mwl)s