Estou executando um VPS com o CentOS 7.
Após uma instalação limpa, eu vi tentativas de login com falha e reinicializações de serviço aparecendo em /var/log/secure da seguinte forma:
Jul 8 13:55:32 vps unix_chkpwd[2561]: password check failed for user (root)
...
Jul 8 14:03:21 vps sshd[13388]: Server listening on 0.0.0.0 port 22.
Jul 8 14:03:21 vps sshd[13388]: Server listening on :: port 22
Depois de executar sudo yum update , o registro em log para /var/log/secure parou de repente.
No entanto, journalctl -u sshd ainda mostra tentativas de login com falha e a reinicialização dos serviços.
rsyslog.conf não foi alterado:
[midas@vps ~]$ ls -la /etc/rsyslog.conf
-rw-r--r--. 1 root root 3232 7 sep 2015 /etc/rsyslog.conf
e redireciona corretamente os logs authpriv. * para /var/log/secure :
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg :omusrmsg:*
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
Eu realmente fiz a instalação limpa para refazer o local de onde esse problema estava vindo. Qualquer ajuda seria apreciada, pois atualmente não tenho idéia de onde os logs estão sendo armazenados além do diário.