Запуск сервера Ubuntu Trusty 14.04.1 LTS в Rackspace, но недавно после запуска обновлений для bash, а затем с перезагрузками из-за уязвимости хоста xen, у меня возникла следующая странная проблема.
Некоторые случайные записи auth.log появляются с устаревшей синхронизацией, например:
Oct 14 12:12:10 myserver sshd[2097]: pam_unix(sshd:session): session closed for user
Oct 13 12:58:30 myserver sshd[2522]: Failed password for foo from 21.21.21.21 port 1490 ssh2
Oct 14 12:21:28 myserver sshd[3389]: Accepted password for bar from 22.22.22.22 port 61173 ssh2
У меня тоже работает отдельный cron.log (я изменил конфигурации для rsyslog), но там тоже есть случайные устаревшие записи синхронизации, например:
Oct 14 07:11:01 myserver CRON[32099]: (root) CMD
Oct 13 03:16:01 myserver CRON[32226]: (root) CMD
Oct 14 07:12:01 myserver CRON[32226]: (root) CMD
ИЗМЕНИТЬ ДОБАВИТЬ:
Я заметил, что похоже, что некоторые записи журнала задерживаются добавлением в * .log rsyslog. Некоторые записи демонстрируют следующую закономерность:
Oct 12 09:19:07 myserver sshd[4792]: pam_unix(sshd:auth): authentication failure;
Oct 12 09:19:09 myserver sshd[4792]: Failed password for x
Oct 14 12:21:32 myserver su[3484]: pam_unix(su:session): session open
Oct 12 09:19:12 myserver sshd[4792]: Failed password for x from 20.20.20.20 port 2158 ssh2
В приведенном выше примере показано, что первые две записи поступили вовремя, но последняя (12 секунд) была задержана на два дня!
Я проверил правильность даты на сервере, перезапустил процессы SSH, перезапустил rsyslog.
Все остальное на сервере работает нормально - Apache, синхронизация, лак и т. Д.
Есть идеи о том, что мне здесь не хватает?
Это хитрый вопрос, и на самом деле это ошибка в rsyslog, в частности RepeatedMsgReduction On, и изменение поведения версии, выпущенной с Trusty (по сравнению с более ранними версиями)
Видеть http://bugzilla.adiscon.com/show_bug.cgi?id=527 за кровавые подробности.
Короче, отключите RepeatedMsgReduction на Trusty. Это бесполезно и делает глупые вещи.