在 Rackspace 上运行 Ubuntu Trusty 14.04.1 LTS 服务器,但最近在运行 bash 更新后,由于 xen 主机漏洞重新启动,我遇到了以下奇怪的问题。
一些随机的 auth.log 条目弹出过时的同步,例如:
Oct 14 12:12:10 myserver sshd[2097]: pam_unix(sshd:session): session closed for user
Oct 13 12:58:30 myserver sshd[2522]: Failed password for foo from 21.21.21.21 port 1490 ssh2
Oct 14 12:21:28 myserver sshd[3389]: Accepted password for bar from 22.22.22.22 port 61173 ssh2
我也有一个单独的 cron.log 正在运行(我更改了 rsyslog 的配置)但那里也有随机的过时同步条目,例如:
Oct 14 07:11:01 myserver CRON[32099]: (root) CMD
Oct 13 03:16:01 myserver CRON[32226]: (root) CMD
Oct 14 07:12:01 myserver CRON[32226]: (root) CMD
编辑以添加:
我注意到,rsyslog 似乎延迟将某些日志条目添加到 *.log。某些条目显示以下模式:
Oct 12 09:19:07 myserver sshd[4792]: pam_unix(sshd:auth): authentication failure;
Oct 12 09:19:09 myserver sshd[4792]: Failed password for x
Oct 14 12:21:32 myserver su[3484]: pam_unix(su:session): session open
Oct 12 09:19:12 myserver sshd[4792]: Failed password for x from 20.20.20.20 port 2158 ssh2
上面的例子显示前两个条目按时到达,但最后一个条目(12 秒)实际上延迟了两天!
我已经检查服务器上的日期是否正确,重新启动了 SSH 进程,重新启动了 rsyslog。
服务器上的其他一切都运行良好 - Apache、sync、varnish 等等
对于我在这里遗漏了什么有什么想法吗?
答案1
这是一个棘手的问题,它实际上是 rsyslog 中的一个错误,特别是 RepeatedMsgReduction On,以及 Trusty 发布的版本的行为变化(与早期版本相比)
看http://bugzilla.adiscon.com/show_bug.cgi?id=527了解血腥细节。
简而言之,关闭 Trusty 上的 RepeatedMsgReduction。它没有帮助,而且会做一些愚蠢的事情。