为什么 fail2ban 报告我的 auth.log 文件已被删除?

为什么 fail2ban 报告我的 auth.log 文件已被删除?

我一直logwatch在运行,并且每天早上都会检查它的内容。我注意到我的 auth.log 文件在 apt 升级和重启后被删除了。

这是昨天升级和重启后fail2ban的部分。logwatch

--------------------- fail2ban-messages Begin ------------------------


Informational Messages:
        banTime: 600: 1 Time(s)
        encoding: UTF-8: 1 Time(s)
        findtime: 600: 1 Time(s)
        maxLines: 1: 1 Time(s)
        maxRetry: 5: 1 Time(s)
      --------------------------------------------------: 1 Time(s)
      Connection to database closed.: 1 Time(s)
      Observer start...: 1 Time(s)
      Observer stop ... try to end queue 5 seconds: 1 Time(s)
      Observer stopped, 0 events remaining.: 1 Time(s)
      Removed logfile: '/var/log/auth.log': 1 Time(s)
      Shutdown in progress...: 1 Time(s)
      Starting Fail2ban v0.11.2: 1 Time(s)

Notices:
    [sshd] Flush ticket(s) with iptables-multiport: 1 Time(s)

---------------------- fail2ban-messages End -------------------------

重启后查看 auth.log 文件,它看起来并不是新的,因为它包含的时间戳早于重启的条目。

这是正常的吗?难道它不应该保留 auth.log 并轮换它吗?这看起来很可疑。

我的 Ubuntu 版本是 22.04.4 LTS 服务器。

答案1

给出了解释这里。Fail2ban 不会删除文件,它正在删除监控该文件。此日志消息令人困惑,值得升级。

相关内容