Re: Fail2ban, grote logfiles
On 10 January 2024 09:06 Paul van der Vlis, wrote:
> Hoi,
>
> Sinds kort heb ik er last van dat fail2ban erg grote logfiles heeft,
> nu is hij bijvoorbeeld alweer 5,9GB. Volgens mij gaat het om SSH
> aanvallen. Ik heb maar weinig machines waar SSH openstaat voor de
> wereld, daarom kan ik niet goed vergelijken. Mijn pogingen om de logs
> minder verbose te maken hielpen niet, er is iets anders aan de hand
> denk ik.
>
> Dit soort dingen staan er in:
> ---------
> 2024-01-10 08:58:03,574 fail2ban.filter [790516]: HEAVY
> Looking for failregex 20 - '^(?P<mlfforget>(?P<mlfgained>Accepted
> \\w+)) for (?P<user>\\S+) from
> (?:\\[?(?:(?:::f{4,6}:)?(?P<ip4>(?:\\d{1,3}\\.){3}\\d{1,3})|(?P<ip6>(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):)))\\]?|(?P<dns>[\\w\\-.^_]*\\w))(?:\\s|$)'
> --------
>
> Zegt jullie dit misschien iets?
Dag Paul!
Ik zie deze ^^^ meldingen niet in mijn logs. Maar dat zegt weinig.
bij mij is het loglevel = INFO
Wat ik niet goed begrijp uit je post: is de maat van de log file een
probleem? Lost logrotate dat niet op?
Mijn servertje had lang geleden moeitje met de groeiende maat van de
Sqlite3 file, die werd te zwaar voor het geheugen van de host. Ik heb
(toen) in fail2ban.conf de purge op 24 uur aangezet, dat houdt het
beperkt: dbpurgeage = 86400
du -h /var/lib/fail2ban/fail2ban.sqlite3 -> 187M
Reply to: