Fail2ban continua a monitorar arquivos de log rotacionados?
Por exemplo, eu tenho uma regra que monitora /var/log/fail2ban.log que é rotacionada automaticamente pelo sistema toda semana (7 dias). Quero ter uma regra que monitore IPs proibidos nesse log para encontrar reincidentes que foram banidos 5 vezes nos últimos 10 dias. Isso é possível?
fail2ban
não lê, mas o arquivo atual. O registo de rotação detectar permitefail2ban
saber que o arquivo mudou, não ler o.1
,.2.gz
, etc arquivos que podem também estar nessa pasta.Pode-se especificar vários logs de uma de duas maneiras (ou uma combinação). Você pode usar globs de arquivo (curingas) para corresponder aos arquivos de log a serem monitorados (ie
logpath = /var/log/*somefile.log
) ou a uma lista de arquivos de log a serem monitorados, separados por espaços em branco (espaços, guias, novas linhas), comoou
fonte
A resposta acima está incorreta em relação à sua pergunta. O FileContainer usa apenas a detecção de rotação do log de arquivo para redefinir a leitura do log no início do arquivo, em vez do procedimento padrão de continuar do último deslocamento:
Não existe um código que procure arquivos rotacionados para analisar também.
fonte
logpath = /var/log/*somefile.log
) ou a uma lista de arquivos de log a serem monitorados, separados por espaços em branco (espaços, guias, novas linhas), comologpath = /var/log/auth.log /var/log/auth.log.1
.