Это failregex
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="[\d-]+",Severity="[\w]+",Service="[\w]+",EventVersion="\d+",AccountID="\d+",SessionID="0x[\da-f]+",LocalAddress="IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+",RemoteAddress="IPV[46]/(UD|TC)P/<HOST>/\d+"
log_prefix= (?:NOTICE|SECURITY)%(__pid_re)s:?(?:\[C-[\da-f]*\])? \S+:\d*( in \w+:)?
Это строка в моем файле журнала, которой должно соответствовать приведенное выше failregex, но не соответствует, когда я запускаю его через fail2ban-regex.
[2015-12-07 06:20:35] SECURITY[1231] res_security_log.c: SecurityEvent="FailedACL",EventTV="1449498035-843882",Severity="Error",Service="AMI",EventVersion="1",AccountID="admin",SessionID="0x9f93d24",LocalAddress="IPV4/TCP/0.0.0.0/5038",RemoteAddress="IPV4/TCP/217.23.7.173/37756",SessionTV="0-0"