我正在管理我的小型 vps,并正在编写一个脚本,将日志发送到我的电子邮件。我正在使用 journalctl 列出日志暂定内容:
journalctl -u sshd >> ./connection.log
但是我的日志文件只是充斥着如下行:
Mar 10 04:47:31 mydomain.net sshd[31468]: Connection closed by xxx.xxx.xxx.xxx [preauth].
该 IP 不是我的服务器的 IP。具有相同 IP 的行重复了 10-20 次。当有人尝试登录我的服务器时,它会切换到另一个服务器,直到有人再次登录,等等...
首先:有人知道为什么连接关闭会这样被发送吗?(我是管理员新手,我在我的 vps 上做实验)
第二:是否可以忽略此行而不将其打印在 .log 文件中?(抱歉我的英语不好)
答案1
您可以journalctl通过管道grep -v删除“连接已关闭”:
journalctl -u sshd | grep -v "Connection closed" >> .connection.log