Однажды на одном сервере с Ubuntu 20.04 я заметил много сообщений в /var/log/syslog:
CRON[1835247]: (root) CMD (/bin/bash /usr/local/bin/fail2ban_banned_db unban_db)
rsyslogd: action 'action-6-builtin:omfile' resumed (module 'builtin:omfile') [v8.2001.0 try https://www.rsyslog.com/e/2359 ]
rsyslogd: action 'action-6-builtin:omfile' suspended (module 'builtin:omfile'), retry 0. There should be messages before this one giving the reason for suspension. [v8.2001.0 try https://www.rsyslog.com/e/2007 ]
ixnfo.com...
Перед сообщениями иногда была строка про запуск скрипта fail2ban, но иногда и не было, а были неудачные попытки подключения к postfix например, что скорее всего тоже вызывало fail2ban, посмотрев права на файлы:
ls -lt /var/log
Я увидел что файл /var/log/fail2ban.log имел владельца root и группу adm, а также он и его архивные версии оказались пустыми.
Посмотрев конфигурацию /etc/rsyslog.conf, я увидел:
$FileOwner syslog
$FileGroup adm
Поэтому я изменил владельца на syslog:
chown syslog /var/log/fail2ban.log
После того как я изменил ему владельца на syslog, указанные выше сообщения перестали появляться, а в файл /var/log/fail2ban.log успешно начали добавляться записи про блокировку IP адресов.
Также в файле /etc/logrotate.d/fail2ban я изменил строку:
create 640 root adm
На:
create 640 syslog adm
Чтобы после ротации логов новый файл создавался с владельцем syslog.