Eu uso o arquivo de filtro padrão /etc/fail2ban/filter.d/mysqld-auth.conf para o serviço fail2ban. Mas existem alguns erros no arquivo /var/log/fail2ban.log como:
Found a match for '150815 10:42:54 [Warning] Access denied for user
'root'@'124.248.35.228' (using password: NO)' but no valid date/time found
for '150815 10:42:54 [Warning] Access denied for user 'root'@'124.248.35.228'
(using password: NO)'. Please contact the author in order to get support
for this format
Como o regexp padrão para o mysql no fail2ban no arquivo de filtro, parece ok:
failregex = ^%(__prefix_line)s(\d{6} \s?\d{1,2}:\d{2}:\d{2} )?\[Warning\] Access denied for user '\w+'@'<HOST>' (to database '[^']*'|\(using password: (YES|NO)\))*\s*$
Eu preciso mencionar que eu configurei o mysql em /etc/mysql/my.cnf da seguinte forma:
log-error = /var/log/mysql/mysql.err
log-warning = 2
Qual é o regexp correto para o mysql no fail2ban?