Написание многострочного регулярного выражения fail2ban
Значение «st» можно просто объяснить, используя экземпляр T2.micro EC2 из AWS.
В документации AWS вы можете прочитать, что вы получаете только 10% базовой производительности на каждый VCPU. Это означает, что если у вас есть процесс, который будет потреблять много процессорного времени, значение «st» останется около 90, поскольку вам разрешено использовать только 10% VCPU. Сумма других значений останется около 10.
Таким образом, AWS использует гипервизор, чтобы предоставить вам доступ только к определенному объему вычислительной мощности. Это намеренно замедляет работу, поскольку вы используете экземпляр только низкого уровня.
Я надеюсь, что это немного облегчит понимание.
Вы можете добавить несколько регулярных выражений в failregexиignoreregex(точно так же, как вы это сделали в ignoreregex), только:
ignoreregexна самом деле не ожидает тега<HOST>, поэтому либо замените его на\S+или что-то подобное;- ваши регулярные выражения уязвимы -не используйте catch -все (
.*,.+и т. д. ), поэтому всегда старайтесь писать регулярные выражения как можно точнее и закрепляйте их. Например, из-за первогоignoreregexзлоумышленник может добавить?robots.txtк запросу, чтобы игнорировать обнаружение. - так же, как поддельный гугл-бот может продолжить атаку -недостаточно просто проверить агента.
Writing a fail2ban multiline regex
Что касается возможности многострочного регулярного выражения -, то это зависит от того, как выглядит лог и что именно вам нужно оттуда парсить, так что без примера описать вряд ли получится.
См. мой ответ на аналогичный вопрос на github.com/fail2ban #2971, комментарий -798429044 .
Также обратите внимание на мой ответ в stackoverflow/64857401 #65375323 .