service status service-name 從哪裡獲取日誌列印輸出？

我們得到sudo service ssh status日誌的輸出，例如

Jul 16 07:35:50 Linux sshd[1426235]: Disconnected from invalid user root 111.111.111.111 port 59242 [preauth]
Jul 16 07:38:50 Linux sshd[1429104]: User root not allowed because account is locked

我很難理解這是從哪裡來的。我的sshd配置設置為登錄到SysLogFacility AUTH.

只是service解析系統日誌嗎？

日誌由 systemd-journald 守護程序控制。它從不同來源收集資訊並將消息載入到日誌中。

systemd 日誌不是大型文本文件。它是由守護程序維護的二進製文件。所以，它不能用文本編輯器打開。這個二進製文件的位置和大小由守護程序的配置文件控制。它也不必是持久的；使用配置參數，管理員可以完全關閉日誌或將其保存在記憶體中，因此它本質上是易失的。使用記憶體日誌，systemd 在 /run/log/journal 目錄下創建它的日誌文件。如果目錄不存在，則創建該目錄。使用持久化儲存，日誌在 /var/log/journal 目錄下創建；同樣，如果需要，該目錄由 systemd 創建。如果這個目錄由於某種原因被刪除，systemd-journald 不會自動重新創建它；相反，它將以非持久方式將日誌寫入 /run/log/journal 下。

引用自：https://serverfault.com/questions/1105770