fail2ban регулярное выражение для smtp_auth

Question

Я не ХОРОШО в регулярных выражениях - и как таковой я не могу показаться, чтобы соответствовать строке журнала Plesk почты, который указывает на грубую силу Smtp атаки -

мой журнал выглядит следующим образом:

May 19 03:24:58 gohhllc smtp_auth[22702]: SMTP connect from mail.globaltrbilisim.com [213.144.99.201] 
May 19 03:24:58 gohhllc smtp_auth[22702]: No such user 'chuong@drophit.net' in mail authorization database 
May 19 03:24:58 gohhllc smtp_auth[22702]: FAILED: chuong@drophit.net - password incorrect from mail.globaltrbilisim.com [213.144.99.201] 

в некоторых случаях это также выглядит как этот

May 19 03:25:22 gohhllc smtp_auth[23056]: SMTP connect from 89-97-124-22.fweds-spc.it [89.97.124.22] 
May 19 03:25:22 gohhllc smtp_auth[23056]: FAILED: element - password incorrect from 89-97-124-22.fweds-spc.it [89.97.124.22] 

Мой регулярное выражение пытается сопоставить оба неудачи имя пользователя и пароль выглядеть

failregex = No such user '.*' in mail authorization database 
FAILED: .* - password incorrect from [<HOST>] 

Наряду с 20+ другими комбо с без толка - в большинстве случаев Teh результата ошибка, как это

Unable to compile regular expression 'FAILED: 

Благодаря

Answer 1

Я работал через это и с помощью http://www.regexr.com/ я был в состоянии написать довольно простое регулярное выражение (я думаю, им становится лучше), чтобы сделать эту работу.

Полученное заявление для SMTP-AUTH при использовании Pleask и Qmail (по крайней мере на моем сервере) является

failregex = FAILED: [-/\w]+ - password incorrect from <HOST> 

AS для «нет такого пользователя» записей я не смог сделать эту работу, как нет имени хоста в файле журнала для этой записи и fail2ban требуется имя хоста :(