几天来第一次查看我的服务器 auth.log 文件,发现它有没有条目今天早上 6:47 之前。
这真的很奇怪,因为几天前我查看日志文件时将其转储到我的笔记本电脑中,其中有超过 2400 行 cron 作业、入侵尝试等。
当我cat /var/log/auth.log刚才运行时 - 我预计会有数千行,但只得到了大约 50 行 cron 作业、一次入侵尝试和我最新的 ssh。
为什么会发生这种情况? - Ubuntu 会定期清空此文件吗?我被黑客入侵了吗?
答案1
/etc/cron.daily 中有一个 cronjob(无论如何在 CentOS 中,在 Ubuntu 中可能有所不同)来运行一个名为 logrotate 的工具,它从 /etc/logrotate.d 读取配置并处理系统日志的老化等。
通常,会保存一周的日志,每天轮换一次。在现代实现中,您将看到其他名为的文件/var/log/auth.log.[date]。尝试执行以下操作:
ls -l /var/log/auth.log*
答案2
有日志轮换,通常发生在早上(我相信默认时间是在 06:25 或之后不久)。看起来您在 logrotate 运行后不久就提取了文件。
根据 logrotate 配置,前一天文件将被命名为 /var/log/auth.log.1。在那里查找它。
logrotate 配置位于 /etc/logrotate.d 中。logrotate 的 cron 任务位于 /etc/cron.daily 中,该目录中的脚本从 /etc/crontab 运行。