backend = systemd
Но в centos, debian (например в 8) чаще 0.8, поэтому тут решение - подключать rsyslog
apt-get install rsyslog
/etc/rsyslog.d/sshd.conf
:
authpriv.* /var/log/auth.log
systemctl enable rsyslog
systemctl start rsyslog
ls -la /var/log/auth.log
И теперь как обычно
cat >> /etc/fail2ban/jail.local << EOF
[ssh]
[ssh]
enabled = true
bantime = 12m
EOF
(в случае centos поправить имя блока до sshd, файл лога при этом писать не в auth.log а в /var/log/secure, но в центос обычно rsyslog уже из коробки настроен как надо)