Bộ lọc Fail2ban Regexp

tôi sử dụng centos8 + fail2ban + haproxy

Tôi có nhà tù đặc biệt "my-haproxy404" với cài đặt này:

[my-haproxy404]
đã bật = đúng
cổng = http,https
bộ lọc = my-haproxy404
logpath = /var/log/my-haproxy.log
phụ trợ = thăm dò ý kiến
tạp chí =
thử lại tối đa = 3
bantime = 86400
thời gian tìm thấy = 3600

và bộ lọc:

[Sự định nghĩa]
failregex = .*:<HOST>(?::\d+)?\s+.*\d* 404

dòng nhật ký ví dụ của tôi là:

Ngày 19 tháng 9 14:38:21 localhost haproxy[53925]: 77.77.77.77:55763 [19/Sep/2021:14:38:21.483] backend1 line1/test1 0/0/12/88/100 404 687 - - -- -- 1/1/0/0/0 0/0 "NHẬN /kiểm tra/chuỗi HTTP/1.1"

vì vậy, ... có thể cái này hoạt động, nhưng trong fail2ban.log tôi thấy IP như sau:

THÔNG TIN [my-haproxy404] Đã tìm thấy 0.0.217.211 - 2021-09-19 14:38:21

đây không phải là IP thực (IP thực là: 77.77.77.77), fail2ban chặn IP này (0.0.217.211) ....nhưng (77.77.77.77) vẫn hoạt động

tôi biết có vấn đề với regrec

bạn có thể giúp tôi với quy tắc regexp chính xác cho chuỗi 404 này không

Ngày 19 tháng 9 14:38:21 localhost haproxy[53925]: 77.77.77.77:55763 [19/Sep/2021:14:38:21.483] backend1 line1/test1 0/0/12/88/100 404

Trân trọng

failregex = ^\s*\S+ haproxy\[\d+\]: <ADDR>:\d+(?: \[[^\]]+\])? \S+ \S+ \d+(?:/\d+)+ 404\b

bạn cũng có thể thay thế 404\b với (?!401)[45]\d\d\b để khớp với bất kỳ mã "xấu" nào 4xx và 5xx ngoại trừ 401 (người ta cần một số điều kiện tiên quyết để xem xét bắt tay ủy quyền đúng cách và có một bộ lọc haproxy-http-auth có thể được sử dụng cho điều đó)