これでだいたい同じになるはず。少し違うけど。
template(name="fail2ban_log_like" type="list") {
property(name="timereported" dateformat="year")
constant(value="-")
property(name="timereported" dateformat="month")
constant(value="-")
property(name="timereported" dateformat="day")
constant(value=" ")
property(name="timereported" dateformat="hour")
constant(value=":")
property(name="timereported" dateformat="minute")
constant(value=":")
property(name="timereported" dateformat="second")
constant(value=",")
property(name="timereported" dateformat="subseconds" position.to="3")
constant(value=" ")
property(name="syslogtag" position.to="23" fixedwidth="on")
property(name="msg")
constant(value="\n")
}
if $programname startswith 'fail2ban' then action( type="omfile" file="/var/log/fail2ban.log" template="fail2ban_log_like" )CentOS と比べ FreeBSD は Ban ログが吐かれないなぁと思ってたら libblacklist が効いているようだ。
意外と postfix などの ports にもパッチが当たってるし、事前に防げていたと。。。
pam_abl は fail2ban よりデフォルトの設定だと緩いみたいだし、認証が失敗するようになだけっぽい。
例えば ssh だと、下で again. 後に1秒程度のラグがあるのが正常な試行で、ラグが無いのが既にpam_abl blacklist入りしてしまっている。
# ssh host
user@host's password:
Permission denied, please try again.
user@host's password: 
