Linux
為什麼我的 auth.log 文件被清空 - 這正常嗎?
幾天來第一次看了一下我的伺服器auth.log文件,發現今天早上6:47之前沒有任何條目。
這真的很奇怪,因為我在幾天前查看該日誌文件時將其轉儲到了我的筆記型電腦上,並且它包含超過 2400 行的 cron 作業、闖入嘗試等。
當我剛才跑的時候
cat /var/log/auth.log
——我期待有數千行,得到大約 50 行 cron 作業,一次闖入嘗試和我最新的 ssh。為什麼會這樣?- Ubuntu 會定期清空這個文件嗎?我被黑了嗎?
/etc/cron.daily 中有一個 cronjob(無論如何在 CentOS 中,在 Ubuntu 中可能不同)執行一個名為 logrotate 的工具,該工具從 /etc/logrotate.d 讀取配置並處理系統日誌的老化等。
通常情況下,會保留一周的日誌,每天輪換一次。在現代實現中,您將看到其他名為
/var/log/auth.log.[date]
. 嘗試做:ls -l /var/log/auth.log*
有日誌輪換,通常發生在早上(我相信預設是在 06:25 或之後不久)。看起來您在 logrotate 執行後不久就提取了文件。
根據 logrotate 配置,前一天的文件將命名為 /var/log/auth.log.1。在那裡尋找它。
logrotate 配置在 /etc/logrotate.d 中。logrotate 的 cron 作業在 /etc/cron.daily 中,該目錄中的腳本從 /etc/crontab 執行。