我注意到我的一个可疑行为认证日志。由于某种原因,它每次应该旋转时都会旋转多次。
2014-06-15 06:25:06,102 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2014-06-15 06:25:06,102 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2014-06-15 06:25:20,117 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2014-06-15 06:25:20,117 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
/etc/logrotate.d/系统日志工具
/var/log/auth.log
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d syslog-ng reload > /dev/null
endscript
}
我检查了旧日志,发现这个问题几个月前就开始了。
那里出了什么问题?
答案1
- 在调试模式下运行 logrotate,或者强制模式,以检查哪些配置以及轮换了多少次。也许有多个 logrotate 配置尝试轮换 auth.log。
- 然后检查你的 cron 日志,看看 logrotate 被调用了多少次。也许某些 cron 配置重复,并多次调用 logrotate。
答案2
这是因为 fail2ban 中的多个过滤器对不同的 failregex 组合监控相同的日志...例如,您的 apache、badbots 和 wordpress 过滤器...
找到您的 jail 文件并运行以下命令:grep "/var/log/auth" jail.local
或类似的东西,它应该向你显示三个实例。