您能告诉我 /var/logs/secure 的日志条目出现这样的情况的原因是什么吗:
Mar 30 10:50:02 server2 proftpd: pam_unix(proftpd:session): session opened for user XXXXXXXXXXXXXX by (uid=0)
Mar 30 06:50:02 server2 proftpd[29432]: 127.0.0.1 (::ffff:93.91.7.90[::ffff:93.91.7.90]) - USER XXXXXXXXXXXXXX: Login successful.
怎么能一行写着上午 10 点,下一行却写着上午 6 点呢?
答案1
检查其他日志,看看是否在同一时间范围内发现任何类似的东西。如果是这样,您的系统时钟可能在那个时间范围内发生了巨大变化。如果您正在运行 ntp,则不应该发生这种情况,因为它会逐渐改变时钟。但是,例如,如果有人运行“ntpdate”,并且时钟偏离了几个小时,您会在日志中看到时间大幅跳跃。
另一种可能性是,您的系统在此期间重新启动,并且时间在启动时重新同步,导致时间跳跃。
检查其他日志文件/var/log/messages应该会给你提供一些关于此事如何发生的线索。
答案2
你所在的时区是哪个?如果有多个程序写入同一个日志文件,它们可能使用不同的时间格式。你示例中的两个时间可能是同一时间的两个变体。你所在的时间可能与格林威治标准时间相差 4 个小时。
通常在使用 FTP 守护程序时,我经常会看到这种情况。一些操作(登录/连接)以 UTC 记录,而一些操作(文件传输)以本地时间记录。(不过,最常见的是使用 [+0100] 和 [+0000] 符号)。
proftpd 能否通过 syslog 记录一些内容,并自己写入一些内容?