Hey,
Danke für Deine Hilfe sei vorangestellt. Für mich sieht dieses "sed"-like pattern matching immer noch aus wie alt-hebräisch..
Also:
Sei angenommen, das hier steht voran, dann sieht die komplette Eintragung so aus - fett markiert ist unsere Zeile:
Code: Alles auswählen
__pid_re = (?:\[\d+\])
# All Asterisk log messages begin like this:
log_prefix= (?:NOTICE|SECURITY)%(__pid_re)s:?(?:\[C-[\da-f]*\])? \S+:\d*( in \w+:)?
failregex = ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - (Wrong password|Username/auth name mismatch|No matching peer found|Not a loca$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Call from '[^']*' \(<HOST>:\d+\) to extension '\d+' rejected because extension not found in context 'default'\.$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Host <HOST> failed to authenticate as '[^']*'$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s No registration for peer '[^']*' \(from <HOST>\)$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Host <HOST> failed MD5 authentication for '[^']*' \([^)]+\)$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Failed to authenticate (user|device) [^@]+@<HOST>\S*$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s (?:handle_request_subscribe: )?Sending fake auth rejection for (device|user) \d*<sip:[^@]+@<HOST>>;tag=\w+\S*$ to '[^']*'
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="[\d-]+",Severity="[\w]+",Service="[\w]$
^(%(__prefix_line)s|\[\]\s*WARNING%(__pid_re)s:?(?:\[C-[\da-f]*\])? )Ext\. s: "Rejecting unknown SIP connection from <HOST>"$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Sending fake auth rejection for device .* to '<HOST>'
So sollte auch die Nachwelt etwas von dieser Lösung haben - ich muss sie nur noch testen
EDIT:
Getestet und läuft einwandfrei. Die Testvariante war mir neu, aber eigentlich sehr einfach:
Code: Alles auswählen
| 194.63.143.70 Sun Nov 08 20:03:31 2015
| 194.63.143.70 Sun Nov 08 20:47:51 2015
2x Logfiles eingesetzt, 2 x IPs gefunden...
Tada.
Danke nochmals - Stefan