ฉันใช้ centos8 +fail2ban +haproxy
ฉันมีคุกพิเศษ "my-haproxy404" ด้วยการตั้งค่านี้:
[my-haproxy404]
เปิดใช้งาน = จริง
พอร์ต = http,https
ตัวกรอง = my-haproxy404
logpath = /var/log/my-haproxy.log
แบ็กเอนด์ = ผู้สำรวจความคิดเห็น
วารสารตรงกัน =
สูงสุด = 3
แบนไทม์ = 86400
หาเวลา = 3600
และตัวกรอง:
[คำนิยาม]
failregex = .*:<HOST>(?::\d+)?\s+.*\d* 404
บรรทัดบันทึกตัวอย่างของฉันคือ:
19 ก.ย. 14:38:21 localhost haproxy[53925]: 77.77.77.77:55763 [19/Sep/2021:14:38:21.483] backend1 line1/test1 0/0/12/88/100 404 687 - - -- -- 1/1/0/0/0 0/0 "รับ /ทดสอบ/สตริง HTTP/1.1"
ดังนั้น ...อาจจะใช้งานได้ แต่ใน fail2ban.log ฉันเห็น IP เช่น:
ข้อมูล [my-haproxy404] พบ 0.0.217.211 - 2021-09-19 14:38:21
นี่ไม่ใช่ IP จริง (IP จริงคือ: 77.77.77.77) , fail2ban บล็อก IP นี้ (0.0.217.211) ....แต่ (77.77.77.77) ยังทำงานอยู่
ฉันรู้ว่ามีปัญหากับ regexp
คุณช่วยฉันด้วยกฎ regexp ที่ถูกต้องสำหรับสตริง 404 นี้ได้ไหม
19 กันยายน 14:38:21 localhost haproxy[53925]: 77.77.77.77:55763 [19/Sep/2021:14:38:21.483] backend1 line1/test1 0/0/12/88/100 404
ความนับถือ
failregex = ^\s*\S+ haproxy\[\d+\]: <ADDR>:\d+(?: \[[^\]]+\])? \S+ \S+ \d+(?:/\d+)+ 404\b
คุณยังสามารถแทนที่ 404\b กับ (?!401)[45]\d\d\b เพื่อให้ตรงกับรหัสที่ "ไม่ดี" 4xx และ 5xx ยกเว้น 401 (ต้องมีข้อกำหนดเบื้องต้นบางประการเพื่อพิจารณาการจับมือกันอย่างถูกต้องและมีตัวกรอง haproxy-http-auth ซึ่งสามารถนำไปใช้ได้)
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
