為什麼我的 auth.log 文件被清空 - 這正常嗎？

幾天來第一次看了一下我的伺服器auth.log文件，發現今天早上6:47之前沒有任何條目。

這真的很奇怪，因為我在幾天前查看該日誌文件時將其轉儲到了我的筆記型電腦上，並且它包含超過 2400 行的 cron 作業、闖入嘗試等。

當我剛才跑的時候cat /var/log/auth.log——我期待有數千行，得到大約 50 行 cron 作業，一次闖入嘗試和我最新的 ssh。

為什麼會這樣？- Ubuntu 會定期清空這個文件嗎？我被黑了嗎？

/etc/cron.daily 中有一個 cronjob（無論如何在 CentOS 中，在 Ubuntu 中可能不同）執行一個名為 logrotate 的工具，該工具從 /etc/logrotate.d 讀取配置並處理系統日誌的老化等。

通常情況下，會保留一周的日誌，每天輪換一次。在現代實現中，您將看到其他名為/var/log/auth.log.[date]. 嘗試做：

ls -l /var/log/auth.log*

有日誌輪換，通常發生在早上（我相信預設是在 06:25 或之後不久）。看起來您在 logrotate 執行後不久就提取了文件。

根據 logrotate 配置，前一天的文件將命名為 /var/log/auth.log.1。在那裡尋找它。

logrotate 配置在 /etc/logrotate.d 中。logrotate 的 cron 作業在 /etc/cron.daily 中，該目錄中的腳本從 /etc/crontab 執行。

引用自：https://serverfault.com/questions/354757