У меня fail2ban работает на сервере centos 6.8; все хорошо. Я написал простой фильтр, чтобы следить за детишками-скриптами, например:
[Definition]
failregex = <HOST> .*GET \/admin/config.php
<HOST> .*GET \/blog\/
<HOST> .*GET \/backup.sql.gz
<HOST> .*GET \/backup.sql.bz2
...
Это отлично работает и создает сообщения в /var/log/fail2ban.log, например:
2017-04-19 11:12:40,333 fail2ban.filter [7181]: INFO [poison-attempts] Found 156.205.xxx.xxx
2017-04-19 11:12:40,900 fail2ban.actions [7181]: NOTICE [poison-attempts] Ban 156.205.xxx.xxx
Итак: можно ли изменить эти сообщения журнала так, чтобы они включали шаблон, вызвавший срабатывание правила? Возможно что-то вроде:
2017-04-19 11:12:40,333 fail2ban.filter [7181]: INFO [poison-attempts] Found 156.205.xxx.xxx requesting /backup.sql.gz
или что-то подобное? Ничего страшного, но было бы неплохо. Спасибо!