以下のsudo service ssh statusログ出力を取得します。
Jul 16 07:35:50 Linux sshd[1426235]: Disconnected from invalid user root 111.111.111.111 port 59242 [preauth]
Jul 16 07:38:50 Linux sshd[1429104]: User root not allowed because account is locked
これがどこから来るのか理解するのが難しいです。私のsshd設定はにログインするように設定されていますSysLogFacility AUTH。
serviceシステムログのみを分析しますか?
答え1
ジャーナルは systemd-journald デーモンによって制御されます。さまざまなソースから情報を収集し、メッセージをログにロードします。
systemd ログは大きなテキストファイルではありません。デーモンプロセスによって維持されるバイナリファイル。したがって、テキストエディタで開くことはできません。このバイナリの位置とサイズは、デーモンの設定ファイルによって制御されます。さらに、構成パラメーターを使用すると、管理者はロギングを完全にオフにしたりメモリーに保持したりすることができるため、永続的である必要はありません。メモリ内ロギングを使用すると、systemd は /run/log/journal ディレクトリにログファイルを生成します。ディレクトリが存在しない場合、ディレクトリが作成されます。永続ストアを使用すると、/var/log/journalディレクトリにログが再生成され、必要に応じてこのディレクトリがsystemdによって生成されます。何らかの理由でディレクトリが削除されると、systemd-journaldはそのディレクトリを自動的に再生成せずに、非永続的な方法で/run/log/journalにログを記録します。デーモンが再起動すると、ディレクトリが再作成されます。