即使 IP 已被禁止，fail2ban 也会记录活动

我认为您正在寻找的是actions。Fail2ban 能够在禁止/取消禁止时执行特定命令，看起来这就是您要找的东西。如默认配置中所述，您应该创建一个文件来自jail.d定义要保留日志记录的服务的行为，即jail.d/customisation.local

通常，Fail2ban 会根据应用程序日志文件中的恶意模式来禁止特定的 IP 地址。通常 fail2ban 通过生成（临时）防火墙规则来阻止有问题的 IP 地址并仅记录该规则。

当有问题的 IP 地址被禁止后，这些 IP 地址将无法再访问您的应用程序，并且不会在应用程序日志文件中找到来自这些 IP 地址的更多事件。因此，从这些日志文件中，您无法了解有问题的 IP 地址是否已经退出，或者是否仍在攻击防火墙。

您可以尝试查看当前的防火墙统计信息，看看后者是否正在发生。您在那里的里程可能会有所不同：

在主机上banaction = firewallcmd-ipset，所有被阻止的 IP 只有一个规则和一个计数器：

iptables -L -n -v
...
 pkts bytes target     prot opt in     out     source               destination

 6578  392K REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22 match-set f2b-sshd src reject-with icmp-port-unreachable

这使得无法确定f2b-sshd ipset中哪些被阻止的 IP 地址是屡犯者。

在主机上，每个被阻止的 IP 都受其自己的规则影响，例如：

Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       117.239.37.150       0.0.0.0/0           reject-with icmp-port-unreachable
2        4   412 REJECT     all  --  *      *       117.253.208.237      0.0.0.0/0           reject-with icmp-port-unreachable

例如，IP 地址发送了 4 个数据包，这些数据包在被阻止并完全退出117.253.208.237后被防火墙记录下来。117.239.37.150

正如提到的另一个答案，您可以指示 fail2ban 创建生成日志事件的防火墙规则，然后您可以对其进行后处理以获得类似的见解，但这不是 fail2ban 将在本机处理和报告的内容。