在运行 Debian 的 Raspberry Pi 中,我有一个简单的脚本来输出已通过 SSH 成功登录系统的 IP。
就像这样:
#!/bin/bash
egrep 'Accepted password|Accepted publickey' /var/log/auth.log | grep -Eo
'[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u
上次我检查它时,它似乎从第一天就开始记录,而且列表变得相当大。然而我今天检查了一下,惊讶地发现它只包含几行。检查 /var/log/auth.log 后,似乎只从昨天开始记录。
我不记得做过任何事情rsyslogd或任何可能导致它从某个时刻再次开始记录的事情。什么会导致这种行为?
编辑:似乎还有一个 /var/log/auth.log.1 文件,其中包含其余数据。我轻松修改了我的脚本,但仍然想知道为什么会发生这种情况。
答案1
日志文件被轮换并老化。不确定此操作系统上此日志的具体情况 - 但使用的工具是“logrotate”,它应该在 /etc/logrotate.conf 或 /etc/logrotate.d/ 中有一个安全条目