我一直logwatch在运行,并且每天早上都会检查它的内容。我注意到我的 auth.log 文件在 apt 升级和重启后被删除了。
这是昨天升级和重启后fail2ban的部分。logwatch
--------------------- fail2ban-messages Begin ------------------------
Informational Messages:
banTime: 600: 1 Time(s)
encoding: UTF-8: 1 Time(s)
findtime: 600: 1 Time(s)
maxLines: 1: 1 Time(s)
maxRetry: 5: 1 Time(s)
--------------------------------------------------: 1 Time(s)
Connection to database closed.: 1 Time(s)
Observer start...: 1 Time(s)
Observer stop ... try to end queue 5 seconds: 1 Time(s)
Observer stopped, 0 events remaining.: 1 Time(s)
Removed logfile: '/var/log/auth.log': 1 Time(s)
Shutdown in progress...: 1 Time(s)
Starting Fail2ban v0.11.2: 1 Time(s)
Notices:
[sshd] Flush ticket(s) with iptables-multiport: 1 Time(s)
---------------------- fail2ban-messages End -------------------------
重启后查看 auth.log 文件,它看起来并不是新的,因为它包含的时间戳早于重启的条目。
这是正常的吗?难道它不应该保留 auth.log 并轮换它吗?这看起来很可疑。
我的 Ubuntu 版本是 22.04.4 LTS 服务器。
答案1
给出了解释这里。Fail2ban 不会删除文件,它正在删除监控该文件。此日志消息令人困惑,值得升级。