働かないfail2ban

ふと、Webもそこそこ稼働させているfail2banの稼働statusを見ていて、違和感。

Status for the jail: apache-404
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- Journal matches:
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:
Status for the jail: sshd
|- Filter
|  |- Currently failed: 4
|  |- Total failed:     65663
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 0
   |- Total banned:     1207
   `- Banned IP list:

Apacheのところ、働いているとみせかけて、サボってるよね！？（汗）

/etc/fail2ban/jail.d配下のconfファイルに

backend = auto

を付加してfail2banをreloadしたところ、働きだしたようです。

Status for the jail: apache-404
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     1
|  `- File list:        /var/log/httpd/access_log /var/log/httpd/ssl_access_log

Apacheに限らず、

File list:　がなく、

Journal matches:　があっても何も表示されていない場合は

該当の監視に

backend = auto

を入れると良さげです。

いつからこうなっていたか分かりませんが、、、攻撃受けっぱなしだったか～。

ちなみにsshdのところは、Total failed:　の数がみるみる増える時があるんですが、増えているときに/var/log/secureをtail -f していても、相応の量のログが記録されているようには見えず、どうも、今ある/var/log/secureを読み直してあらためて回数をカウントしているのではないか、と思っています。まぁ悪い相手には違いないので、/var/log/secureログがローテされるまで、何回でもカウントしてBANしてくれても差支えはないのですが、光景的には結構焦ります。よく監視ソフトでもありがちな最後に見た行とかの記録が失われるとかなんでしょうか。