저널 로그를 확인하기 위해 Journalctl을 사용할 때의 명령 출력
journalctl -u ssh.service
그리고
journalctl _COMM=sshd
다른. 첫 번째 명령은 두 번째 명령으로 표시되는 로그 항목의 하위 집합만 생성합니다. 그러나 첫 번째 경우에만 표시된 로그 항목과 두 경우 모두 표시된 로그 항목 간에는 뚜렷한 차이가 없습니다. 다음은 "-o verbose" 형식의 거의 동일한 두 개의 로그 항목입니다. 둘 중 나타나는 것은 그 _SYSTEMD_UNIT=ssh.service속성을 가지고 있지만 그 외에는 거의 동일합니다. _COMM=sshd두 경우 모두 표시된 항목과 전혀 관련이 없는 항목 만 표시되는 항목도 있습니다 .
이 행동의 이유는 무엇입니까?
저는 sshd 버전 "OpenSSH_7.2p2 Debian-2, OpenSSL 1.0.2g" 및 systemd 229를 사용하여 데비안 테스트를 실행하고 있습니다.
Tue 2016-04-12 06:43:38.498526 CEST [s=0430cdfa7fb2408cbc98dccb31e42ffc;i=17096e;b=d17df7e99dfa496894cc1e5b6314ffa2;m=6a36040f2c;t=530424
PRIORITY=6
_UID=0
_GID=0
_CAP_EFFECTIVE=3fffffffff
_SYSTEMD_SLICE=-.slice
_BOOT_ID=d17df7e99dfa496894cc1e5b6314ffa2
_MACHINE_ID=05019d58a4004f9f90c1cfbd295b54ca
_HOSTNAME=homeserver
_SYSTEMD_CGROUP=/
_TRANSPORT=syslog
SYSLOG_FACILITY=4
SYSLOG_IDENTIFIER=sshd
_COMM=sshd
SYSLOG_PID=31025
_PID=31025
MESSAGE=Disconnected from 183.3.202.172 port 36152 [preauth]
_SOURCE_REALTIME_TIMESTAMP=1460436218498526
Tue 2016-04-12 06:43:38.498459 CEST [s=0430cdfa7fb2408cbc98dccb31e42ffc;i=17096d;b=d17df7e99dfa496894cc1e5b6314ffa2;m=6a36040d71;t=530424
PRIORITY=6
_UID=0
_GID=0
_CAP_EFFECTIVE=3fffffffff
_BOOT_ID=d17df7e99dfa496894cc1e5b6314ffa2
_MACHINE_ID=05019d58a4004f9f90c1cfbd295b54ca
_HOSTNAME=homeserver
_TRANSPORT=syslog
_SYSTEMD_SLICE=system.slice
SYSLOG_FACILITY=4
SYSLOG_IDENTIFIER=sshd
_COMM=sshd
_EXE=/usr/sbin/sshd
_CMDLINE=sshd: unknown [priv]
_SYSTEMD_CGROUP=/system.slice/ssh.service
_SYSTEMD_UNIT=ssh.service
SYSLOG_PID=31025
_PID=31025
MESSAGE=Received disconnect from 183.3.202.172 port 36152:11: [preauth]
_SOURCE_REALTIME_TIMESTAMP=1460436218498459
답변1
메시지는 journald로그 서비스에 따라 (아마도) 구별되기 때문입니다._COMM
sshd여러 프로세스가 실행되고 proctitle그에 따라 변경됩니다. 이것은 혼란스러울 수 있습니다 journald. 귀하의 예에서는 [priv]구별이 정확하지만 [preauth]정확하지 않습니다. 두 번째 프로세스도 실행 중이지만 chroot상위 프로세스( [priv])가 그를 대신하여 로그인해야 합니다.