fail2ban 正則表達式來擷取 dovecot 日誌條目？

我正在嘗試編寫一個 fail2ban 正則表達式來擷取任何嘗試使用者 ID“管理員”的人。例如，此日誌條目：

Jan  2 09:55:01 mail2 dovecot: pop3-login: Disconnected: user=<administrador>, method=PLAIN, rip=::ffff:201.130.1.218

這是我到目前為止的正則表達式：

failregex = (?: pop3-login|imap-login): .*(?:Disconnected: user=\<administrador\>).*rip=(?P<host>\S*),.*

它沒有擷取上面的日誌條目，因為語法錯誤。任何人都可以幫忙嗎？

進一步實驗，並能夠創建一個工作。問題出在遠端 ip (rip) 部分。這是有效的：

failregex = (?: pop3-login|imap-login): .*(?:Disconnected: user=\<administrador\>).*rip=.*ffff\:(<HOST>).*

雖然它可能不是很有效。仍然歡迎任何改進它的建議。

您的模式以“pop3”或“imap”開頭……日誌條目以日期開頭。

failregex = .*(pop3-login|imap-login).*administrator.*rip=<HOST>

應該工作（雖然我沒有測試過）

還在DovecotWiki上找到了這個Fail2Ban 條目。

引用自：https://serverfault.com/questions/346619