fail2ban контролирует повернутые файлы журнала?
3 ответа
Да, fail2ban продолжает отслеживать ротацию файлов журнала. Из server / filter.py
439 ##
440 # FileContainer class.
441 #
442 # This class manages a file handler and takes care of log rotation detection.
443 # In order to detect log rotation, the hash (MD5) of the first line of the file
444 # is computed and compared to the previous hash of this line.
1
Приведенный выше ответ неверен в отношении вашего вопроса. FileContainer использует только обнаружение ротации журнала файлов для сброса чтения журнала обратно в начало файла вместо стандартной процедуры продолжения с последнего смещения:
class FileContainer:
...
def open(self):
self.__handler = open(self.__filename, 'rb')
...
# Compare hash and inode
if self.__hash != myHash or self.__ino != stats.st_ino:
logSys.info("Log rotation detected for %s" % self.__filename)
self.__hash = myHash
self.__ino = stats.st_ino
self.__pos = 0
# Sets the file pointer to the last position.
self.__handler.seek(self.__pos)
Там нет кода, который ищет повернутые файлы для анализа.
4
Можно указать несколько журналов одним из двух способов (или комбинацией). Вы можете использовать файловые глобусы (подстановочные знаки) для сопоставления файлов журнала для мониторинга (т.е.logpath = /var/log/*somefile.log) или список лог-файлов для мониторинга, разделенный пробелами (пробелы, вкладки, новые строки) типа
logpath = /var/log/auth.log /var/log/auth.log.1
или
logpath = /var/log/auth.log
/var/log/auth.log.1
5