우리는 sudo service ssh status다음과 같은 로그 출력을 얻습니다.
Jul 16 07:35:50 Linux sshd[1426235]: Disconnected from invalid user root 111.111.111.111 port 59242 [preauth]
Jul 16 07:38:50 Linux sshd[1429104]: User root not allowed because account is locked
이것이 어디서 나오는지 이해하는 데 어려움을 겪고 있습니다. 내 sshd구성은 에 로그인하도록 설정되어 있습니다 SysLogFacility AUTH.
service시스템 로그만 분석하시겠습니까?
답변1
저널은 systemd-journald 데몬에 의해 제어됩니다. 다양한 소스에서 정보를 수집하고 메시지를 로그에 로드합니다.
systemd 로그는 큰 텍스트 파일이 아닙니다. 데몬 프로세스에 의해 유지 관리되는 바이너리 파일입니다. 따라서 텍스트 편집기로 열 수 없습니다. 이 바이너리의 위치와 크기는 데몬의 구성 파일에 의해 제어됩니다. 또한 구성 매개변수를 사용하면 관리자가 로깅을 완전히 끄거나 메모리에 유지할 수 있으므로 영구적일 필요는 없습니다. 메모리 내 로깅을 사용하면 systemd는 /run/log/journal 디렉터리에 로그 파일을 생성합니다. 디렉터리가 없으면 디렉터리가 생성됩니다. 영구 저장소를 사용하면 /var/log/journal 디렉터리에 로그가 다시 생성되며, 필요한 경우 이 디렉터리가 systemd에 의해 생성됩니다. 어떤 이유로 디렉터리가 삭제되면 systemd-journald는 해당 디렉터리를 자동으로 다시 생성하지 않고 비영구적인 방식으로 /run/log/journal에 로그를 기록합니다. 데몬이 다시 시작되면 디렉터리가 다시 생성됩니다.