Executando um servidor LTS do Ubuntu Trusty 14.04.1 na Rackspace, mas recentemente após executar as atualizações do bash, então com as reinicializações para a vulnerabilidade do host xen, tenho o seguinte problema estranho.
Algumas entradas aleatórias auth.log estão aparecendo sincronizadas desatualizadas, por exemplo:
Oct 14 12:12:10 myserver sshd[2097]: pam_unix(sshd:session): session closed for user
Oct 13 12:58:30 myserver sshd[2522]: Failed password for foo from 21.21.21.21 port 1490 ssh2
Oct 14 12:21:28 myserver sshd[3389]: Accepted password for bar from 22.22.22.22 port 61173 ssh2
Eu tenho um cron.log separado em execução também (alterei as configurações para o rsyslog), mas também tenho entradas de sincronização desatualizadas aleatórias, por exemplo:
Oct 14 07:11:01 myserver CRON[32099]: (root) CMD
Oct 13 03:16:01 myserver CRON[32226]: (root) CMD
Oct 14 07:12:01 myserver CRON[32226]: (root) CMD
EDITAR PARA ADICIONAR:
Eu notei que parece que algumas entradas de log estão atrasadas sendo adicionadas ao * .log por rsyslog. Algumas entradas mostram o seguinte padrão:
Oct 12 09:19:07 myserver sshd[4792]: pam_unix(sshd:auth): authentication failure;
Oct 12 09:19:09 myserver sshd[4792]: Failed password for x
Oct 14 12:21:32 myserver su[3484]: pam_unix(su:session): session open
Oct 12 09:19:12 myserver sshd[4792]: Failed password for x from 20.20.20.20 port 2158 ssh2
O exemplo acima mostra que as duas primeiras entradas chegaram pontualmente, mas a última (12 segundos) foi atrasada por dois dias!
Eu verifiquei a data em que o servidor está correto, reiniciei os processos SSH, reiniciei o rsyslog.
Tudo o mais no servidor está funcionando bem - Apache, sincronização, verniz, etc etc
Alguma idéia do que estou sentindo falta aqui?