Ssh

service status service-name 從哪裡獲取日誌列印輸出?

  • July 16, 2022

我們得到sudo service ssh status日誌的輸出,例如

Jul 16 07:35:50 Linux sshd[1426235]: Disconnected from invalid user root 111.111.111.111 port 59242 [preauth]
Jul 16 07:38:50 Linux sshd[1429104]: User root not allowed because account is locked

我很難理解這是從哪裡來的。我的sshd配置設置為登錄到SysLogFacility AUTH.

只是service解析系統日誌嗎?

日誌由 systemd-journald 守護程序控制。它從不同來源收集資訊並將消息載入到日誌中。

systemd 日誌不是大型文本文件。它是由守護程序維護的二進製文件。所以,它不能用文本編輯器打開。這個二進製文件的位置和大小由守護程序的配置文件控制。它也不必是持久的;使用配置參數,管理員可以完全關閉日誌或將其保存在記憶體中,因此它本質上是易失的。使用記憶體日誌,systemd 在 /run/log/journal 目錄下創建它的日誌文件。如果目錄不存在,則創建該目錄。使用持久化儲存,日誌在 /var/log/journal 目錄下創建;同樣,如果需要,該目錄由 systemd 創建。如果這個目錄由於某種原因被刪除,systemd-journald 不會自動重新創建它;相反,它將以非持久方式將日誌寫入 /run/log/journal 下。

引用自:https://serverfault.com/questions/1105770