Ray*_*y A 5 ubuntu ssh syslog rsyslog
在 Rackspace 运行 Ubuntu Trusty 14.04.1 LTS 服务器,但最近在运行 bash 更新后,然后重新启动 xen 主机漏洞,我遇到了以下奇怪的问题。
一些随机的 auth.log 条目弹出了过时的同步,例如:
Oct 14 12:12:10 myserver sshd[2097]: pam_unix(sshd:session): session closed for user
Oct 13 12:58:30 myserver sshd[2522]: Failed password for foo from 21.21.21.21 port 1490 ssh2
Oct 14 12:21:28 myserver sshd[3389]: Accepted password for bar from 22.22.22.22 port 61173 ssh2
我也有一个单独的 cron.log 正在运行,(我更改了 rsyslog 的配置)但那里也有随机过时的同步条目,例如:
Oct 14 07:11:01 myserver CRON[32099]: (root) CMD
Oct 13 03:16:01 myserver CRON[32226]: (root) CMD
Oct 14 07:12:01 myserver CRON[32226]: (root) CMD
编辑添加:
我注意到看起来有些日志条目被 rsyslog 添加到 *.log 中被延迟了。一些条目显示以下模式:
Oct 12 09:19:07 myserver sshd[4792]: pam_unix(sshd:auth): authentication failure;
Oct 12 09:19:09 myserver sshd[4792]: Failed password for x
Oct 14 12:21:32 myserver su[3484]: pam_unix(su:session): session open
Oct 12 09:19:12 myserver sshd[4792]: Failed password for x from 20.20.20.20 port 2158 ssh2
上面的例子显示前两个条目准时进入,但最后一个(12秒)实际上延迟了两天!
我检查了服务器上的日期是否正确,重新启动了 SSH 进程,重新启动了 rsyslog。
服务器上的其他一切都运行良好 - Apache、同步、清漆等
关于我在这里缺少什么的任何想法?
这是一个棘手的问题,它实际上是 rsyslog 中的一个错误,特别是 RepeatedMsgReduction On,以及与 Trusty 一起发布的版本的行为变化(与早期版本相比)
有关血腥的详细信息,请参阅http://bugzilla.adiscon.com/show_bug.cgi?id=527。
简而言之,关闭 Trusty 上的 RepeatedMsgReduction。它没有帮助,并且会做一些愚蠢的事情。
| 归档时间: |
|
| 查看次数: |
1521 次 |
| 最近记录: |