我在Debian Web服务器上查看/var/log/auth.log,它记录的最后一件事是:
Jul 2 21:09:01 h311 /USR/SBIN/CRON[25912]: (root) CMD ( [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
Jul 2 21:12:37 h311 systemd[1]: Reloading.
/ var / log / syslog的大小为0字节.较旧的日志存档.
我试过删除它,重新启动服务.它再次创建,大小为0字节.
我试图在这台服务器上安装syslog-ng之类的东西,并在玩完一些东西之后删除它们.我安装的某些软件包可能已经篡改了配置,但我无法准确地告诉你.
此服务器上还有一个超级用户,因此它可能是其他用户.
为了让日志再次运行,我应该检查并尝试做什么?
解决方法:
如评论中所示,您的系统正在使用systemd进行服务管理. Systemd是传统SysVinit的替代品.它还捆绑了很多其他东西,比如syslog收集器.在这种情况下,要访问日志,您需要使用journalctl命令.
$journalctl
如果只想查看sshd日志,可以传递过滤器:
$journalctl -n 1 _COMM=sshd
-- Logs begin at Wed 2014-10-22 19:29:29 EDT, end at Fri 2014-10-24 09:05:09 EDT. --
Oct 24 09:05:09 gadget sshd[5800]: pam_unix(sshd:session): session closed for user phemmer
您可以通过将输出格式更改为详细信息来查看可用的过滤器字段:
$journalctl -n 1 -o verbose
Fri 2014-10-24 09:05:09.533633 EDT [s=30566909a26443ffb7185d318ccc4cd6;i=3d5d;b=19dd64e325fd4577a78af1a73f005b6c;m=1e82168a3c;t=5062ad4a511bc;x=1fae374af8a7dbc3]
PRIORITY=6
_UID=0
_GID=0
_BOOT_ID=19dd64e325fd4577a78af1a73f005b6c
_MACHINE_ID=5288dcb47f9fed3ab946f54754305a4f
_HOSTNAME=gadget
_CAP_EFFECTIVE=1fffffffff
_TRANSPORT=syslog
SYSLOG_FACILITY=10
SYSLOG_IDENTIFIER=sshd
_COMM=sshd
_EXE=/usr/sbin/sshd
_SYSTEMD_OWNER_UID=1000
_SYSTEMD_SLICE=user-1000.slice
_PID=5800
_CMDLINE=sshd: phemmer [priv]
_SYSTEMD_CGROUP=/user.slice/user-1000.slice/session-3.scope
_SYSTEMD_SESSION=3
_SYSTEMD_UNIT=session-3.scope
MESSAGE=pam_unix(sshd:session): session closed for user phemmer
_SOURCE_REALTIME_TIMESTAMP=1414155909533633
回答有关禁用systemd的评论.我不建议.您的发行版正在向systemd发展,而剥离系统的核心组件可能会让您的生活变得非常困难.
有可能只禁用日志日志,并使用传统的syslog守护进程,没有太多的痛苦,但我建议学习使用日志,然后再决定不使用它.反对惯例不应该轻易做到.
标签:linux,debian,ssh,logs
来源: https://codeday.me/bug/20190815/1659179.html