Добрый день! Опишу исходные составляющие. В наличии OS UBUNTU 14.04, которая в данном контексте является лог-сервером, куда посредством rsyslog стекаются логи с n-количества серверов. Установлен fail2ban, который натравлен на общий auth.log, смотрит за ошибочными вводами паролей, несанкционированными коннектами по ssh. Ничего не предпринимает, только отправляет уведомления на почту в соответствии со своими regexp'ами, конфиги все по умолчанию. за исключением banaction, где прописана только отсылка почты. Почта приходит следующего содержания
The IP x.x.x.x has just been banned by Fail2Ban after 2 attempts against ssh.
То есть, всё как бы нормально он видит то, за чем его поставили.НО.. Никак нигде не могу найти, как подкрутить настройки оповещения, чтобы было в почте больше информации. Постольку поскольку логи агрегированные, то интересно было бы в почте иметь название хоста из строки лога, на котором произошёл инцидент да и ещё кое-какие поля, как-то имя пользователя или что-то наподобие, что есть в этой строке информативного. Fail2ban наверняка каким-то образом эту строку держит в памяти в какой-то переменной, исходя из regexp. Подскажите ,куда копать, где почитать. Ничего подобного не нашёл. Не предлагайте ставить на каждый сервак этот демон, не вариант ни разу.. Интересно обрабатывать логи на целевом сервере, потому и вопрос возник.
