MikroTik.by

ну вот опять
я тут рисую себе сложные варианты с if-else, а достаточно в начале сразу это проверить :-)
спасибо, работает этот вариант

квадратные скобки упустил блин вот правильный вариант :foreach i in=[/log/find message~".*>: user [^ ]+ authentication failed"] do={ :local logMessage [/log get $i message]; :local startPosition [:find $logMessage "<"]; :local endPosition [:find $logMessage ">"]; :local...

уважаемый лесник, мы ещё не закончили :-) появился новый вопрос по этой части: ошибка <123.123.144.123>: user Admin authentication failed скрипт :foreach i in=[/log/find message~".*>: user [^ ]+ authentication failed"] do={ :local logMessage [/log get $i message]; :local startPosition [:fi...

ну вот, пришёл и всё исправил :-))

Работает до тех пор пока не появляется ip который уже есть в листе проверил этот вариант, вроде всё норм :foreach i in=[/log/find message~"^\\d+\\.\\d+\\.\\d+\\.\\d+ phase1 negotiation failed\\."] do={ :local msg [/log get $i message]; :local ip ([:pick $msg 0 [:find $msg "." ([...

что-то типа такого можно попробовать сделать :foreach i in=[/log/find message~"^\\d+\\.\\d+\\.\\d+\\.\\d+ phase1 negotiation failed\\."] do={ :local msg [/log get $i message]; :local ip ([:pick $msg 0 [:find $msg "." ([:find $msg "." ([:find $msg "."] + 1)] + ...

а как можно сделать проверку на то, что ip адрес уже есть в адрес листе? и не добавлять такой ip повторно в этом нет необходимости второй раз адрес нельзя добавить в тот же адреслист а "on-error={}" в скрипте как раз скроет ошибку о существовании такой записи, т.е. адрес будет просто проп...

День добрый, а скриптом не поделитесь который (phase1 negotiation failed due to time up ) блокирует?) почему-то был уверен, что выше выкладывал :-) примеры записей в логе: 123.123.111.123 phase1 negotiation failed. 123.123.122.123 parsing packet failed, possible cause: wrong password phase1 negotia...

да, спасибо, так всё работает :-)

адреслисты как-то странно обрабатываются вот скрипт и что он выводит: :foreach i in=[/ip firewall address-list find list="port_scanners" address~"^[.0-9]*\$"] do={ :local addrListMessage [/ip firewall address-list get $i]; :log info $addrListMessage # .id=*1f4a;address=206.168.34...

спасибо, попробую

upd:
да, правильно вытаскивает
спасибо, буду дальше веселиться :-)

ага, именно так и получалось
вроде выбираю только те, где нет 0/24, а он все выдавал
похоже действительно придётся всё перебирать

да, я там зажигал от души :-)) добавлял себе в лог адрес 122.123.333.111 и не понимал, почему скрипт его не обрабатывает но в итоге всё сделал, всё пашет но у меня появилась новая вавка в голове есть правило, которое добавляет а адреслист IP, который перебирает порты но он добавляет отдельный адрес,...

del

del

у меня встречаются ещё такие типы сообщений первая строка - это наверное 95% всех подобных ошибок phase1 negotiation failed due to time up 100.100.100.100[500]<=>47.252.42.12[500] e0c091b198818b39:6b463379b059196c <47.252.42.12>: user Admin authentication failed 47.252.42.12 parsing packet failed, p...

проверять не весь лог, а только записи за последние 15 минут (например) А смысл? Вроде и без этого быстро отрабатывает да как-то неоптимизировано выглядит :-) а вот так не получится? :foreach i in=[/log/find message~"^\\d+\\.\\d+\\.\\d+\\.\\d+ phase1 negotiation failed\\." where time>([/s...

Chupaka писал(а): ↑26 мар 2024, 19:51 А какие требования?

• проверять не весь лог, а только записи за последние 15 минут (например)
• записывать в блоклист не 47.252.42.12, а 47.252.42.0/24
• отлавливать не только "ip_address phase1 negotiation failed" строки, но и "phase1 negotiation failed due time up ..."

спасибо! я попробую перевести это в текстовую форму скрип выбирает все записи из лога, которые выглядят как "ip_address phase1 negotiation failed" берём одну такую строчку, вытаскиваем всё что находится до " phase1" и добавляем в блоклист если возникает ошибка (адрес существует в...

это не катастрофическая проблема, обычно пару адресов в день, пару раз было около 10
бывает как сегодня, когда один адрес долбит каждую секунду 10-15 минут

я сейчас вручную раз в 2-3 дня захожу в логи и вручную собираю их в блоклисты, но если возможно, конечно хотелось бы автоматизировать

Привет Есть идея для скрипта Т.к. сам в этом не очень разбираюсь, может кто-нибудь из знающих заинтересуется В логе часто появляются такие записи: https://i.servimg.com/u/f67/11/95/78/30/0147.jpg Создаём адрес лист block_vpn Скрип будет запускаться раз в 5 минут (например) и проверять логи за послед...

Что такое "недоступен"? DNS ничего не знает про то, кто там и для чего доступен Я имел в виду, что сам днс сервер по этому адресу недоступен В микротике активирован DOH на dns.nextdns.io Для dns.nextdns.io нужно прописать в статике хотя бы два адреса, которые они дают Эти два адреса anyca...

Если в записи регулярка - то она возвращает один адрес. в смысле даже если он недоступен, следующий запрос всё равно туда уйдёт? А если не секрет, цель-то какая? :) никаких секретов, только проблемы с головой :-) увидел, что у меня есть практически одинаковые записи, решил их заменить регуляркой, д...

Привет :-) Да, спасибо, эту информацию тоже нашёл На основании ответов от ""dig +short" сейчас пытаюсь понять логику происходящего дальше, т.е. что происходит, если первый запрос не прошёл Как я понимаю, в случае с обычными правилами, я вижу что адреса по очереди подставляются на один...

Привет В IP - DNS - Static у меня есть 4 записи: dns.nextdns.io 111.111.111.111 dns.nextdns.io 222.222.222.222 dns1.nextdns.io 111.111.111.111 dns2.nextdns.io 222.222.222.222 Команда "dig +short dns.nextdns.io" в этом случае возвращает мне: 111.111.111.111 222.222.222.222 Но если я заменяю...