Я управляю своим крошечным vps и работаю над сценарием для отправки журнала регистрации на мою электронную почту. Я использую journalctl, чтобы перечислить предварительные журналы:
journalctl -u sshd >> ./connection.log
Однако мой файл журнала просто засыпан строкой вроде:
Mar 10 04:47:31 mydomain.net sshd[31468]: Connection closed by xxx.xxx.xxx.xxx [preauth].
IP не принадлежит моему серверу. Строки с одинаковым IP повторяются примерно 10-20 раз. И когда кто-то пытается войти на мой сервер, он меняется на другой, пока кто-то снова не войдет, и т. Д.
Во-первых: кто-нибудь знает, почему соединение так спамят? (Я новичок в администрировании и экспериментирую со своими vps)
Во-вторых: можно ли игнорировать эти строки и не печатать их в файле .log? (Извините за мой английский)
Вы могли трубить journalctl
к grep -v
чтобы удалить «Соединение закрыто»:
journalctl -u sshd | grep -v "Connection closed" >> .connection.log