Rozwiązanie: rozwiązaniem zadania jest konfiguracja przedstawiona poniżej (conf_16):
type=PairWithWindow ptype=RegExp pattern=Authentication failure for (\S+) desc=authentication failure for $1 action=event AUTH_FAILURE ptype2=RegExp pattern2=session opened for user $1 desc2=succesfull log in action2=none window=30
type=SingleWithThreshold ptype=RegExp pattern=AUTH_FAILURE context=!TIMER desc=more than 10 authentication failures in 10 minutes action=write -; create TIMER 1800 window=600 thresh=10
Jeśli chcesz wypróbować powyższą konfigurację, a nie masz dość cierpliwości, żeby przez kilkanaście minut ręcznie wklepywać nieprawidłowe hasła, możesz uruchomić SEC nasłuchujący na standardowym wejściu, na które prosty skrypt powłoki będzie wysyłał tekst Authentication failure for some_user:
$ (while (true); do echo Authentication failure for some_user; \ sleep 3; done) | sec -conf=conf_16 -input=-