奇怪的 journalctl 行

奇怪的 journalctl 行

我正在管理我的小型 vps,并正在编写一个脚本,将日志发送到我的电子邮件。我正在使用 journalctl 列出日志暂定内容:

journalctl -u sshd >> ./connection.log

但是我的日志文件只是充斥着如下行:

Mar 10 04:47:31 mydomain.net sshd[31468]: Connection closed by xxx.xxx.xxx.xxx [preauth].

该 IP 不是我的服务器的 IP。具有相同 IP 的行重复了 10-20 次。当有人尝试登录我的服务器时,它会切换到另一个服务器,直到有人再次登录,等等...

首先:有人知道为什么连接关闭会这样被发送吗?(我是管理员新手,我在我的 vps 上做实验)

第二:是否可以忽略此行而不将其打印在 .log 文件中?(抱歉我的英语不好)

答案1

您可以journalctl通过管道grep -v删除“连接已关闭”:

journalctl -u sshd | grep -v "Connection closed" >> .connection.log

相关内容