(wat is) Postfix?

>> De standaard yum logrotate ...

Bedoel je dat de 'secure' log maar 1x per jaar roteert? Of snap ik je verkeerd nu?

Nee, de logs van yum roteren eens per jaar. De rest heeft normaliter een schema van een week. Zie:
yum:

/var/log/yum.log {
missingok
notifempty
size 30k
yearly
create 0600 root root
}

syslog:

/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
missingok
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || $
endscript
}

Dit wordt aangevuld met defaults:

# rotate log files weekly
weekly

# keep 4 weeks worth of backlogs
rotate 4

Dit heeft voor het yum log als eindresultaat dat er 4 jaar(!) aan logs wordt bewaard, of 120k. Wat ook maar eerder komt.

Ah oké ... op die manier.

En moet ik ... of beter gezegd ... is het zinvol om nog iets aan deze instellingen te wijzigen, of kan ik alles zo laten zoals het is? Heb jij zelf nog aanpassingen gemaakt bijvoorbeeld?

Oh ja ... nog een laatste vraag ... ik heb nu dus Fail2Ban geïnstalleerd en ik heb de settings wat aangepast waardoor het nu een stuk beter werkt ... die kl@@tzak van gisteren heb ik nu te pakken :D ... maar ik zou ook graag die log van Fail2Ban laten roteren. Gaat dat automatisch, kan ik dat ergens zien, of moet ik dat zelf instellen ... en in dat geval ... hoe? Ik zou het erg fijn vinden als ik die log namelijk ook kan roteren, bijv. op basis van de omvang, maar wat zijn dan de te nemen stappen?

Ik ga er vanuit dat fail2ban zelf in /etc/logrotate.d een bestandje heeft geplaatst met log instellingen, ik zou zeggen kijk er eens naar. De hele reden van /etc/logrotate.d is zodat anderen zonder logrotate.conf aan te passen hun eigen toevoegingen kunnen doen. Als er niets staat zou je heel eenvoudig zelf in /etc/logrotate.d een bestandje kunnen plaatsen, en op basis van hoe fail2ban omgaat met het verdwijnen van logbestanden/wijzigen van logbestanden al of niet een herstart laten doen. (of een SIGHUP zoals bij syslogd gebeurt).

Een kleine toevoeging is dat de door distributie geleverde configuraties etc zich vaak niet echt lenen voor aanpassingen, zoals bijvoorbeeld de hoofdconfiguratie van logrotate. Vaak zal na update dan een .rpmsave of .rpmnew bestand geplaatst worden, afhankelijk van hoe de auteur met aangepaste configuratie omgaat. In een .rpmsave staat je huidige config, en de oude config is dan overschreven, in een .rpmnew staan dan nieuwe (aanbevolen) instellingen.

>> Ik ga er vanuit dat fail2ban zelf in /etc/logrotate.d een bestandje heeft geplaatst ...

Nou jaaaaa ... je hebt helemaal gelijk zeg! :-)))

In de settings staat:

/var/log/fail2ban.log {
    rotate 7
    missingok
    compress
    postrotate
      /usr/bin/fail2ban-client flushlogs  1>/dev/null || true
    endscript
}

Wat ik nu niet helemaal snap is op basis waarvan ie rotate. Doet ie dat dan weer wekelijks?

En "rotate 7" wil dat zeggen dat ie 7 back-ups (7 weken) opslaat en daarna telkens de oudste weggooit?

De default is weekly, en dat wordt hier niet overschreven, dus ja, hij zal 7 weken aan logs bewaren, waarna de oudste wordt weggegooid.

Oké, cool :-) Thanks voor alle hulp en inzichten!