Eu tentei todas as abordagens que conheço para obter o host do log de acesso do apache, mas nenhum funcionou
minha abordagem básica de testes é a seguinte:
fail2ban-regex '87.97.244.57 - - [05/Nov/2015:12:46:24 -0500] "GET /index.php/?a=30%60%22( HTTP/1.1" 200 22639 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)' '^<HOST> - - [[^]+] ".*60.20.*'
Eu tentei ^<HOST> - - [[^]+] ".*60.20.* <HOST> - - [[^]+] ".*60.20.* [[]client []].*60.20.* ^<HOST>.*60.20.*$ .*60.20.* ... etc.
Eles não percebem a linha de segmentação ou eu recebo um erro fail2ban.server.failregex.RegexException: No 'host' group in [...]
É realmente difícil entender o que você está tentando fazer, igualar o host é tão simples quanto
'^<host>'
Se você quiser combinar coisas mais específicas,
'^<host> - - .*30%60%22'
funciona.
A mensagem de erro que você está recebendo é porque o ( está sendo interpretado como parte de um agrupamento regex que você não finaliza. você deveria escapar assim
'^<host> - - .*30%60%22\('
Tags fail2ban apache-2.2