嗨Krys，你完全没看错——默认的fail2ban.log确实主要聚焦在IP的封禁、解封这类核心事件上，不会主动追踪已封禁IP后续的访问尝试。不过要搞清楚这些细节，咱们有几个实用的办法：

• 检查防火墙拦截日志：Fail2Ban本质是通过防火墙规则（比如iptables、ufw、firewalld）实现IP封禁的，所以防火墙本身会记录所有被拦截的流量：

  • 如果你用iptables，日志通常存在/var/log/iptables.log或/var/log/messages里，用命令 grep "DROP" /var/log/iptables.log | grep "目标IP" 就能筛选出该IP被拦截的请求细节，包括时间、协议、端口、请求类型。
  • 若是ufw防火墙，日志路径是/var/log/ufw.log，同样用grep筛选带目标IP的DROP条目即可。
  • firewalld的话，日志一般在/var/log/firewalld或/var/log/messages中，查找标记为REJECT或DROP的相关记录。

• 查看原始服务日志+调整Fail2Ban配置：

  • 很多Fail2Ban的jail是基于SSH、Apache、Nginx这类服务的日志触发封禁的，即使IP被封禁，服务本身的日志（比如SSH的/var/log/auth.log、Apache的/var/log/apache2/access.log）可能依然会记录这些请求（除非防火墙在服务层之前就拦截了），直接查看对应服务日志就能看到对方的访问意图。
  • 你也可以临时调整Fail2Ban的日志级别，在对应jail的配置文件（比如/etc/fail2ban/jail.d/自定义jail.conf）里把loglevel设为DEBUG，这样fail2ban.log会输出更多细节，但注意不要长期开启，避免日志量过大。

• 用tcpdump实时抓包排查：如果想实时监控某个封禁IP的行为，可以用tcpdump命令抓包：tcpdump -i any host 目标封禁IP，这样能直观看到该IP发送的所有数据包，包括请求的端口、内容等，适合临时针对性排查。

另外补充一点：部分Fail2Ban jail配置会在IP封禁后继续监控服务日志，若该IP再次尝试访问，可能会自动延长封禁时长，但这类行为默认不会单独在fail2ban.log里记录，还是得依赖防火墙或服务日志来追踪。

备注：内容来源于stack exchange，提问作者dkdlv