rsyslog мог производить чистку файлов журнала?
Сегодня я нашел много файлов журнала пустым, они были:
/var/log/auth.log
/var/log/syslog
/var/log/daemon.log
/var/log/kern.log
/var/log/mail.log
/var/log/user.log
/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/messages
Во-первых, это заставило меня задаться вопросом, был ли я взломан, и кто-то удалял их трассировки. Но осматривая сеть для подсказок и поиска подозрительного действия, я не нашел никого.
Я решил попытаться перезапустить rsyslog. И что Вы думаете? Журналы входят снова, на самом деле показывая мне кто-то пробует пользователям SSH "в лоб". Таким образом, я выключил вход в систему пароля для sshd.
Так, мой вопрос: rsyslog иногда зависает и прекращает регистрироваться?
Это могло быть проблемой logrotate? Файлы системного журнала 1 и подобный имеют данные логов.
1 ответ
Это происходит из-за того, что делает logrotate. Это отчасти похоже на швейцара файлов журнала, перемещения их, сжатия и кэши. Можно также считать изменение портом сервера SSH, я выполняю мой на 44 вместо 22, и это мешает людям делать глупые сканирования :)