Que script gira /var/log/auth.log?

5

Não consigo descobrir onde /var/log/auth.log é girado.

Eu encontrei o arquivo /var/log/auth.log.2013-09-16 no meu sistema, que contém entradas de log encontradas anteriormente em /var/log/auth.log . De onde vem esse arquivo?

Eu adicionei as opções -d -D '%Y-%m-%d' à chamada savelog em /etc/cron.daily/sysklog e as opções dateext e dateformat .%Y-%m-%d a /etc/logrotate.conf , mas não sei por que isso deve afetar como auth.log é rotacionado .

Lugares que eu investiguei:

  • $ grep auth /etc/logrotate.d/* não produz correspondência
  • $ grep auth /etc/logrotate.conf não produz correspondência
  • /etc/cron.daily/sysklog tem o seguinte a dizer sobre rotação:

    for LOG in $(syslogd-listfiles)
    do
       if [ -s $LOG ]; then
          savelog -g adm -m 640 -u ${USER} -c 7 -d -D '%Y-%m-%d' $LOG \
            > /dev/null
       fi
    done
    

    mas $ syslogd-listfiles lista apenas /var/log/syslog como candidato a rotação.

  • Outras chamadas para savelog em /etc e seus subdiretórios giram arquivos históricos em diretórios CVS registrados, /var/log/boot e aptitude.pkgstates .

  • $ crontab -l lista algumas entradas para scripts em /opt/psa/libexec/modules/watchdog/cp/ (suponho que sejam provenientes de painéis do Plesk). No entanto, não acho que eles sejam responsáveis, porque os arquivos em questão costumavam ser nomeados com uma extensão numérica até que eu adicionasse as opções -d -D '%Y-%m-%d' à chamada savelog em /etc/cron.daily/sysklog e as opções dateext e dateformat .%Y-%m-%d to /etc/logrotate.conf .

por Oswald 16.09.2013 / 11:50

2 respostas

6

Pelo menos na minha instalação do Ubuntu 13.04 (máquina física, edição de desktop), o auth.log é rotacionado por logrotate , conforme definido em /etc/logrotate.d/rsyslog . Isso é encontrado corretamente por grep auth /etc/logrotate.d/* . Os arquivos girados são nomeados normalmente como auth.log , auth.log.1 , auth.log.2.gz e assim por diante. Isso é, até onde eu sei, a maneira padrão de lidar com o log de autenticação. Talvez você esteja usando uma versão personalizada do Ubuntu.

    
por Henning Kockerbeck 16.09.2013 / 12:23
0

Eu também estou usando o 12.04 no Virtuozzo. Acho que a configuração do contêiner usa o mecanismo mais antigo do sysklogd para rotação (ou seja, sysklogd em /etc/cron.daily), portanto:

$ syslogd-listfiles
/var/log/syslog

mas

$ syslogd-listfiles --weekly
/var/log/user.log
/var/log/daemon.log
/var/log/messages
/var/log/debug
/var/log/auth.log
/var/log/mail.log
/var/log/kern.log
/var/log/lpr.log

Então, acho que está correto. (Nota: Eu esvaziei o email dividido. * Registrando em log o dobro de logs para mail.info e mail.log)

No entanto, notei que minha VM estava sem o trabalho /etc/cron.weekly/sysklogd, então tive que adicioná-lo manualmente.

A outra coisa que você pode ignorar é o syslogd-listfiles ter algumas verificações extras para excluir arquivos de log muito pequenos da rotação. Então, se nada estiver sendo registrado, eles não serão rotacionados.

    
por Mike 01.06.2014 / 19:01