刚刚看了几天我的服务器auth.log文件,发现今天早上六点四十七分没有条目 。
这真的很奇怪,因为我前几天看到这个日志文件的时候,我已经把这个日志文件转储到了我的笔记本电脑上,而且这个数据超过了2400行cron作业,磨合尝试等等。
当我刚刚运行cat /var/log/auth.log – 我期待成千上万行,并且获得了大约50行cron作业,一个闯入尝试和我最近的ssh。
为什么发生这种事? – Ubuntu会定期清空这个文件吗? 我被黑了吗?
/etc/cron.daily中有一个cronjob(无论如何,在Ubuntu中可能不同),运行一个名为logrotate的工具,它从/etc/logrotate.d读取configuration信息,并处理系统日志的老化等。
通常情况下,保存一周的原木,每天旋转一次。 在现代实现中,您将看到名为/var/log/auth.log.[date]其他文件。 尝试做:
ls -l /var/log/auth.log*
有日志轮换,这通常发生在早晨(我相信默认是在06:25之后或不久)。 看起来你在logrotate运行后不久就拉出了这个文件。
根据logrotateconfiguration,前一天的文件将被命名为/var/log/auth.log.1。 在那里找。
logrotateconfiguration位于/etc/logrotate.d。 logrotate的cron作业位于/etc/cron.daily中,该目录中的脚本从/ etc / crontab运行。