Назад | Перейти на главную страницу

Почему auth.log обновляется несколько раз каждый день?

Я заметил подозрительное поведение своего auth.log. По какой-то причине он поворачивается несколько раз каждый раз, когда должен вращаться.

2014-06-15 06:25:06,102 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2014-06-15 06:25:06,102 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2014-06-15 06:25:20,117 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2014-06-15 06:25:20,117 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log

/etc/logrotate.d/syslog-ng

/var/log/auth.log
{
    rotate 4
    weekly
    missingok
    notifempty
    compress
    delaycompress
    sharedscripts
    postrotate
            invoke-rc.d syslog-ng reload > /dev/null
    endscript
}

Я проверил старые журналы и обнаружил, что это началось несколько месяцев назад.
Что там не так?

  1. Запустите logrotate в режиме отладки и, возможно, в принудительном режиме, чтобы проверить, какие конфигурации и сколько раз поворачиваются. Возможно, несколько конфигов logrotate попытаются повернуть auth.log.
  2. Затем проверьте журнал cron, сколько раз был вызван logrotate. Возможно, какой-то конфиг cron был продублирован и несколько раз вызывает logrotate.

Это вызвано наличием нескольких фильтров в fail2ban, отслеживающих один и тот же журнал для разных комбинаций failregex ... Пример ваших фильтров для apache, badbots и wordpress ...

Найдите свой файл тюрьмы и выполните следующую команду: grep "/ var / log / auth" jail.local

или что-то подобное, он должен показать вам три экземпляра.