在fail2banfilter中使用反向引用可能吗？

有时我会在Apache日志中看到可疑的“文件未find”错误集合，基本上使用该模式

File does not exist: /var/www/file, referer: http://my.server.com/file

用人的话来说：文件没有被find，尽pipe它在这里被引用。一个明显的黑客攻击尝试，这是几乎不可能的（和REQUEST_URI往往足够的build议相同）。在我看来，一个明确的fail2ban案例 – 如果我能得到反向引用在这里工作：

 failregex = ^%(_apache_error_client)s File does not exist: /var/www(.+), referer: http://.+\1$

（Justin案例：上面的例子假设该networking服务器的DIRECTORY_ROOT是/var/www ）

我search了几个小时，上下search了fail2ban的wiki ，但是没有任何地方可以find关于filter反向引用的声明。他们不支持，或者我做错了吗？任何提示如何使它工作（除了从“肮脏的黑客”，如首先使用mod-rewrite发送请求到另一个假的url，然后赶上（如果任何人有兴趣，我可以在一个答案详细说明这种方法），或者使用mod-security做类似的事情）？

整个日志行被要求：

 [Fri Nov 08 14:57:28 2013] [error] [client 50.67.234.213] File does not exist: /var/www/text/files.htm++++++++++++++++++++++++++Result:+using+proxy+27.34.142.47:9090;+no+post+sending+forms+are+found;, referer: http://www.myserver.com/text/files.htm++++++++++++++++++++++++++Result:+using+proxy+27.34.142.47:9090;+no+post+sending+forms+are+found;

^{（对不起，日志只是切换，所以这个长期候选人是目前唯一剩下的;为了隐私的原因做了小的调整）}

看起来反向引用编号有点古怪。尝试使用命名组 …像这样的东西：

 failregex = ^%(_apache_error_client)s File does not exist: /var/www(?P<snoop_file>.+), referer: http://.+(?P=snoop_file)$