Просто взглянул на файл auth.log моего сервера впервые за несколько дней и заметил, что он нет записей сегодня утром до 6:47.
Это действительно странно, потому что я сбросил этот файл журнала на свой ноутбук, когда смотрел на него пару дней назад, и это было более 2400 строк заданий cron, попыток взлома и т. Д.
Когда я бежал cat /var/log/auth.log только что - я ожидал тысячи строк и получил около 50 строк заданий cron, одну попытку взлома и мой последний ssh.
Почему это произошло? - Ubuntu периодически очищает этот файл? Меня взломали?
В /etc/cron.daily есть задание cron (в любом случае в CentOS, в Ubuntu оно может быть другим) для запуска инструмента logrotate, который считывает конфигурацию из /etc/logrotate.d и обрабатывает устаревание системных журналов и т. Д.
Как правило, журналы хранятся на неделю и меняются один раз в день. В современных реализациях вы увидите другие файлы с именем /var/log/auth.log.[date]. Попробуйте сделать:
ls -l /var/log/auth.log*
Есть ротация журналов, которая обычно происходит утром (я считаю, что по умолчанию это происходит в 06:25 или вскоре после этого). Похоже, вы вытащили файл вскоре после запуска logrotate.
В зависимости от конфигурации logrotate файл предыдущего дня будет называться /var/log/auth.log.1. Ищите это там.
Конфигурация logrotate находится в /etc/logrotate.d. Задание cron для logrotate находится в /etc/cron.daily, а скрипты в этом каталоге запускаются из / etc / crontab.