Приветствую!

Есть простая в общем задача - защитить логин форму вордпресса.

Всё работает так, как ожидается на примерах из интернета и форматах лога common и combined веб сервера apache2. Правило выглядит так (упрощено):

[Definition]
failregex = ^<HOST> .* "(GET|POST) /+wp-login.php

Но в логе vhost_combined строка начинается не с адреса клиента, а с имени вхоста, так что «^<HOST>» должен быть заменен на что-то другое. Ниже пример строки лога, где myvhostname.org - вхост, а 11.22.33.44 - собственно HOST (клиент):

myvhostname.org:443 11.22.33.44 - - [24/Jun/2022:11:04:17 +0500] "POST /xmlrpc.php HTTP/1.1" 200 5639 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"

Помогите исправить фильтр/регексп.