1

我运行了 fail2ban 来保护我们的 freeswitch 服务器免受攻击。当一个 IP 地址的登录失败次数过多时,它就会被禁止。我想收到有关哪个帐户受到攻击的通知——而不仅仅是 IP 地址。

所以日志行可能是

2015-09-11 08:27:40.212155 [警告] sofia_reg.c:1477 来自 ip 的 [kloch@inbox.ru@004-2025.sb12.dmclub.org] 的 sofia 配置文件“内部”上的 SIP 身份验证失败(注册) 78.31.75.181

我想要一封包含 [kloch@inbox.ru@004-2025.sb12.dmclub.org] 位(甚至只是整行)的电子邮件(或一些 php 脚本运行)

那可能吗?

我的猜测是它不是,只是由于来自许多行的数据流与一个共同的主机,所以我没有屏住呼吸!;-)

4

1 回答 1

2

如果您将 fail2ban 配置为使用action_mwl操作快捷方式,它将向您发送一封包含 whois 信息和完整日志行的邮件。

/etc/fail2ban/jail.conf中,确保action设置设置为:

action = %(action_mwl)s
于 2015-09-18T18:33:17.950 回答