为什么 auth.log 每天都会轮换多次?

为什么 auth.log 每天都会轮换多次?

我注意到我的一个可疑行为认证日志。由于某种原因,它每次应该旋转时都会旋转多次。

2014-06-15 06:25:06,102 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2014-06-15 06:25:06,102 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2014-06-15 06:25:20,117 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2014-06-15 06:25:20,117 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log

/etc/logrotate.d/系统日志工具

/var/log/auth.log
{
    rotate 4
    weekly
    missingok
    notifempty
    compress
    delaycompress
    sharedscripts
    postrotate
            invoke-rc.d syslog-ng reload > /dev/null
    endscript
}

我检查了旧日志,发现这个问题几个月前就开始了。
那里出了什么问题?

答案1

  1. 在调试模式下运行 logrotate,或者强制模式,以检查哪些配置以及轮换了多少次。也许有多个 logrotate 配置尝试轮换 auth.log。
  2. 然后检查你的 cron 日志,看看 logrotate 被调用了多少次。也许某些 cron 配置重复,并多次调用 logrotate。

答案2

这是因为 fail2ban 中的多个过滤器对不同的 failregex 组合监控相同的日志...例如,您的 apache、badbots 和 wordpress 过滤器...

找到您的 jail 文件并运行以下命令:grep "/var/log/auth" jail.local

或类似的东西,它应该向你显示三个实例。

相关内容