Я заметил подозрительное поведение своего auth.log. По какой-то причине он поворачивается несколько раз каждый раз, когда должен вращаться.
2014-06-15 06:25:06,102 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2014-06-15 06:25:06,102 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2014-06-15 06:25:20,117 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2014-06-15 06:25:20,117 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
/etc/logrotate.d/syslog-ng
/var/log/auth.log
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d syslog-ng reload > /dev/null
endscript
}
Я проверил старые журналы и обнаружил, что это началось несколько месяцев назад.
Что там не так?
Это вызвано наличием нескольких фильтров в fail2ban, отслеживающих один и тот же журнал для разных комбинаций failregex ... Пример ваших фильтров для apache, badbots и wordpress ...
Найдите свой файл тюрьмы и выполните следующую команду: grep "/ var / log / auth" jail.local
или что-то подобное, он должен показать вам три экземпляра.