Debianを実行しているRaspberry Piには、SSHを介してシステムに正常にログインしたIPを出力する簡単なスクリプトがあります。
このように:
#!/bin/bash
egrep 'Accepted password|Accepted publickey' /var/log/auth.log | grep -Eo
'[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u
前回確認してみると、初日からロギングになっているようで、リストがかなり多くなりました。ところで、今日確認してみると数行しか書かれていなかったのでびっくりしました。 /var/log/auth.logをチェックしてみると、昨日からロギングが始まったようです。
rsyslogd
ある時点で録音を再開させることができる何かやったことを覚えていません。この動作の原因は何ですか?
編集する:残りのデータを含む/var/log/auth.log.1ファイルがあるようです。スクリプトを簡単に修正しましたが、なぜこれが起こるのか知りたいです。
答え1
ログファイルは循環してエージングされます。このOSでは、このログの詳細はわかりませんが、使用されるツールは/etc/logrotate.confまたは/etc/logrotate.d/にセキュリティエントリが必要な「logrotate」です。