Fail2ban регулярное выражение

умвр с /.*\.php

# fail2ban-regex /var/log/nginx/access.log '^<HOST> - .* "(GET|POST) /.*\.php .*$'
...
Lines: 1458 lines, 0 ignored, 109 matched, 1349 missed
[processed in 1.31 sec]
...

вынес «тестовую» строку в отдельный файл test.log, попробовал применить ваш вариант

# fail2ban-regex /opt/zimbra/log/test.log '^<HOST> - .* "(GET|POST) /.*\.php .*$'

Running tests =============

Use failregex line : ^<HOST> - .* "(GET|POST) .*$ Use log file : /opt/zimbra/log/test.log

Results =======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits: |- [# of hits] date format | [1] Day/MONTH/Year:Hour:Minute:Second `-

Lines: 1 lines, 0 ignored, 0 matched, 1 missed |- Missed line(s): | 65.19.167.130 - - [16/апр/2019:05:09:14 +0000] «GET //defect.php HTTP/1.1» 404 - "-" «Mozilla/5.0 (Windows NT 6.1;rv:60.0) Gecko/20100101 Firefox/60.0» 86

Кодировку поправте либо в логогенераторе, либо в fail2ban.

Скопировал строки из лога nginx и вставил их в test.log...выражение видит строку из nginx, но не видит из zimbra. Только сопоставив строки увидел различие в написании месяца, если поменять на «Apr» то выражение срабатывает. Получается fail2ban не сможет парсить лог в таком виде?

(zimbra)65.19.167.130 - - [17/апр/2019:14:04:14 +0000] «GET /defect.php HTTP/1.1» 404 - "-" «Mozilla/5.0 (Windows NT 6.1;rv:60.0) Gecko/20100101 Firefox/60.0» (nginx)23.23.142.128 - - [06/Apr/2019:08:48:39 +0700] «GET /index.php HTTP/1.1» 200 3835 "-" «BitrixCloud Monitoring/1.0»

17/апр/2019:14:04:14 +0000