我试图在rsyslog服务器上运行fail2ban,它从我们其他的服务器收集auth日志。 我感兴趣的是获取通知作为第一步。
我的问题是,fail2ban只会触发来自本地机器(名为“sth-admin-log01”的日志服务器)的auth.log行,而不是远程服务器。 例如,此行出现3次足以触发fail2ban操作:
Mar 27 10:21:28 sth-admin-log01 sshd[18516]: Failed password for root from 192.168.1.3 port 34234 ssh2 这条线不会触发任何东西,不pipe它出现多less次:
Mar 27 11:20:19 test-vm sshd[9772]: Failed password for root from 192.168.1.3 port 34631 ssh2
我试图validation使用fail2ban-regex(默认)sshd.conf筛选器,它匹配两个日志行就好了。
我在Ubuntu 64bit 14.0.4.1上使用fail2ban 0.8.11-1。
有任何想法吗?