Подскажите, пожалуйста, в чем причина того, что записи журнала / var / logs / secure выглядят примерно так:
Mar 30 10:50:02 server2 proftpd: pam_unix(proftpd:session): session opened for user XXXXXXXXXXXXXX by (uid=0)
Mar 30 06:50:02 server2 proftpd[29432]: 127.0.0.1 (::ffff:93.91.7.90[::ffff:93.91.7.90]) - USER XXXXXXXXXXXXXX: Login successful.
Как можно датировать одну строку 10 часами утра, а следующей 6 часами утра?
Проверьте другие журналы, чтобы увидеть, есть ли что-нибудь похожее в том же периоде. Если это так, ваши системные часы могли резко измениться. в тот период. Если вы используете ntp, этого не должно происходить, поскольку он постепенно переводит часы. Однако, например, если кто-то запустил `ntpdate 'и часы отстают на много часов, вы увидите большой скачок времени в журналах.
Другая возможность заключается в том, что ваша система тем временем была перезагружена, и время повторно синхронизировалось при загрузке, что привело к скачку времени.
Проверка других файлов журнала, например /var/log/messages должен дать вам еще несколько подсказок о том, как это произошло.
В каком часовом поясе вы находитесь? Если в один и тот же файл журнала записывает несколько программ, они могут использовать разные форматы времени. Два времени в вашем примере - это, вероятно, два варианта одного и того же времени. Скорее всего, вы на 4 часа отклонились от GMT.
Обычно с демонами FTP я часто это вижу. Некоторые операции (вход / подключение) регистрируются в формате UTC, а некоторые (передача файлов) - по местному времени. (Однако чаще всего с обозначениями [+0100] и [+0000]).
Может ли proftpd кое-что записывать через syslog, а кое-что записывать сам?