Да, fail2ban продолжает отслеживать ротацию файлов журнала. Из server / filter.py
439 ##
440 # FileContainer class.
441 #
442 # This class manages a file handler and takes care of log rotation detection.
443 # In order to detect log rotation, the hash (MD5) of the first line of the file
444 # is computed and compared to the previous hash of this line.
Приведенный выше ответ неверен в отношении вашего вопроса. FileContainer использует только обнаружение ротации журнала файлов для сброса чтения журнала обратно в начало файла вместо стандартной процедуры продолжения с последнего смещения:
class FileContainer:
...
def open(self):
self.__handler = open(self.__filename, 'rb')
...
# Compare hash and inode
if self.__hash != myHash or self.__ino != stats.st_ino:
logSys.info("Log rotation detected for %s" % self.__filename)
self.__hash = myHash
self.__ino = stats.st_ino
self.__pos = 0
# Sets the file pointer to the last position.
self.__handler.seek(self.__pos)
Там нет кода, который ищет повернутые файлы для анализа.
Можно указать несколько журналов одним из двух способов (или комбинацией). Вы можете использовать файловые глобусы (подстановочные знаки) для сопоставления файлов журнала для мониторинга (т.е.logpath = /var/log/*somefile.log
) или список лог-файлов для мониторинга, разделенный пробелами (пробелы, вкладки, новые строки) типа
logpath = /var/log/auth.log /var/log/auth.log.1
или
logpath = /var/log/auth.log
/var/log/auth.log.1