Estou tentando executar o fail2ban no servidor rsyslog que coleta logs de autenticação do restante de nossos servidores. Estou interessado em fazer as notificações funcionarem como um primeiro passo.
Meu problema é que o fail2ban é acionado apenas em linhas auth.log que vêm da máquina local (o servidor de logs denominado 'sth-admin-log01'), mas não em servidores remotos. Por exemplo, três ocorrências dessa linha são suficientes para acionar ações fail2ban:
Mar 27 10:21:28 sth-admin-log01 sshd[18516]: Failed password for root from 192.168.1.3 port 34234 ssh2
Esta linha não aciona nada, não importa quantas vezes ela apareça:
Mar 27 11:20:19 test-vm sshd[9772]: Failed password for root from 192.168.1.3 port 34631 ssh2
Eu tentei verificar o filtro (padrão) sshd.conf usando o fail2ban-regex e ele combina as duas linhas de log bem.
Estou usando o fail2ban 0.8.11-1 no Ubuntu 64bit 14.0.4.1.
Alguma idéia?