A resposta à sua pergunta depende da rotação de log que você configurou. Por padrão o Ubuntu está configurado para rodar os arquivos de log, então você deve ver arquivos parecidos com os seguintes em / var / log
auth.log
auth.log.1
auth.log.2.gz
auth.log.3.gz
auth.log.4.gz
O primeiro arquivo (auth.log) é o log atual, com auth.log.1 sendo as entradas mais antigas e auth.log.2.gz sendo entradas mais antigas compactadas com gz. Quanto maior o número, mais no passado as entradas de log são.
Você pode verificar suas configurações de rotação de log visualizando /etc/logrotate.d/rsyslog, que no Ubuntu 14.04 contém uma seção como esta:
/var/log/mail.info
...
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
...
/var/log/messages
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
reload rsyslog >/dev/null 2>&1 || true
endscript
}
Quando a primeira linha indica que 4 versões antigas devem ser mantidas, e a próxima configura-as para serem rotacionadas semanalmente.
Se a sua rotação de log for a mesma, você pode esperar que o arquivo auth.log seja rotacionado (renomeado para auth.log.1) toda semana. Dê uma olhada no log auth.log.1 e certifique-se de que as entradas mais recentes sigam as entradas mais antigas em auth.log. Se este for o caso, você parece ter um log contínuo e as coisas estão operando de uma maneira "normal" (com logs sendo rotacionados como esperado).
Com relação à segurança dos logs, a data de modificação dos arquivos de log não deve ser mais recente que a entrada de log mais recente nesse arquivo ou a data em que foi compactada. Se você ver que os registros de semanas ou meses foram modificados nos últimos dias, isso é um sinal de aviso.
Principalmente, o conteúdo dos logs faz sentido? Os horários de login correspondem aos usados pelos administradores ou outros usuários que têm acesso? Para alguém com o login de raiz desativado, seus registros seriam bastante problemáticos, mas essa atividade pode ser normal para o sistema.
Nota: Ter entradas de log "contínuas" de auth.log para auth.log.1 (e assim por diante) não significa que seu servidor é seguro. O invasor provavelmente removeria apenas as entradas relacionadas às suas atividades - não removesse uma grande seção que tornasse óbvia sua invasão. Se você tiver preocupações sobre segurança, verifique os rootkits e outros softwares mal-intencionados e atividades incomuns.