Debian을 실행하는 Raspberry Pi에는 SSH를 통해 시스템에 성공적으로 로그인한 IP를 출력하는 간단한 스크립트가 있습니다.
이와 같이:
#!/bin/bash
egrep 'Accepted password|Accepted publickey' /var/log/auth.log | grep -Eo
'[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u
지난번에 확인해 보니 첫날부터 로깅이 되고 있는 것 같았고 목록이 꽤 많아졌습니다. 그런데 오늘 확인해 보니 몇 줄밖에 안 적혀 있어서 깜짝 놀랐습니다. /var/log/auth.log를 확인해 보니 어제부터 로깅이 시작된 것 같습니다.
rsyslogd
어느 시점에서 다시 녹음을 시작하게 만들 수 있는 어떤 일이나 일을 한 기억이 없습니다 . 이 동작의 원인은 무엇입니까?
편집하다:나머지 데이터가 포함된 /var/log/auth.log.1 파일이 있는 것 같습니다. 스크립트를 쉽게 수정했지만 왜 이런 일이 발생하는지 알고 싶습니다.
답변1
로그 파일은 순환되고 에이징됩니다. 이 OS에서 이 로그의 세부 사항은 확실하지 않지만 사용되는 도구는 /etc/logrotate.conf 또는 /etc/logrotate.d/에 보안 항목이 있어야 하는 "logrotate"입니다.