У меня есть записи журнала sshd из прошлого, казалось бы, случайным образом смешанные (по времени) с текущими записями журнала.
Никакие удаленные хосты не регистрируются на этом сервере, rsyslog обслуживает только это поле. Внешний доступ к прослушивателю rsyslog заблокирован брандмауэром. Версия sshd: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2. Sshd регистрировался в daemon: info, но с тех пор я поднялся до daemon: verbose. TcpKeepAlive есть на сервере. Записи выглядят как действительные сообщения об отключении клиента. IP-адрес клиента мне известен, и ему разрешено использовать ssh по правилам брандмауэра. Версия клиента: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2. Клиентский / etc / ssh / ssh_config указывает ServerAliveInterval 60. Клиент создает перенаправления портов на сервере. Затем процесс на сервере периодически передает данные на клиентский порт с помощью netcat.
Ошибочная отметка даты и времени, а также кажущиеся старыми записи журнала смешиваются с текущими записями журнала. Может ли это быть симптомом старых прерванных сессий, оставшихся после нечистого выхода?
Любые предложения приветствуются, спасибо.
Скорее всего, это то же самое, что и этот вопрос / ответ: Странный порядок системного журнала
TL; DR: ошибка Rsyslog с включенным RepeatedMsgReduction в последних версиях.