Em journald, por que algumas entradas de log sshd não são atribuídas a ssh.service

Navegue suas respostas
4

Ao usar journalctl para inspecionar meu journald registra a saída dos comandos 

journalctl -u ssh.service

e 

journalctl _COMM=sshd

diferem. O primeiro comando produz apenas um subconjunto das entradas de log exibidas pelo segundo. No entanto, não há distinção clara entre as entradas de log que aparecem apenas no primeiro caso e as que aparecem nos dois casos. A seguir, duas entradas de log quase idênticas no formato "-o verbose". O que aparece em ambos tem o atributo _SYSTEMD_UNIT=ssh.service , mas é quase idêntico. Há também entradas que só aparecem com _COMM=sshd e não estão relacionadas a uma entrada que aparece nos dois casos.

Qual é a razão para esse comportamento?

Estou executando o teste debian com a versão sshd "OpenSSH_7.2p2 Debian-2, OpenSSL 1.0.2g" e systemd 229. 

Tue 2016-04-12 06:43:38.498526 CEST [s=0430cdfa7fb2408cbc98dccb31e42ffc;i=17096e;b=d17df7e99dfa496894cc1e5b6314ffa2;m=6a36040f2c;t=530424
    PRIORITY=6
    _UID=0
    _GID=0
    _CAP_EFFECTIVE=3fffffffff
    _SYSTEMD_SLICE=-.slice
    _BOOT_ID=d17df7e99dfa496894cc1e5b6314ffa2
    _MACHINE_ID=05019d58a4004f9f90c1cfbd295b54ca
    _HOSTNAME=homeserver
    _SYSTEMD_CGROUP=/
    _TRANSPORT=syslog
    SYSLOG_FACILITY=4
    SYSLOG_IDENTIFIER=sshd
    _COMM=sshd
    SYSLOG_PID=31025
    _PID=31025
    MESSAGE=Disconnected from 183.3.202.172 port 36152 [preauth]
    _SOURCE_REALTIME_TIMESTAMP=1460436218498526
Tue 2016-04-12 06:43:38.498459 CEST [s=0430cdfa7fb2408cbc98dccb31e42ffc;i=17096d;b=d17df7e99dfa496894cc1e5b6314ffa2;m=6a36040d71;t=530424
    PRIORITY=6
    _UID=0
    _GID=0
    _CAP_EFFECTIVE=3fffffffff
    _BOOT_ID=d17df7e99dfa496894cc1e5b6314ffa2
    _MACHINE_ID=05019d58a4004f9f90c1cfbd295b54ca
    _HOSTNAME=homeserver
    _TRANSPORT=syslog
    _SYSTEMD_SLICE=system.slice
    SYSLOG_FACILITY=4
    SYSLOG_IDENTIFIER=sshd
    _COMM=sshd
    _EXE=/usr/sbin/sshd
    _CMDLINE=sshd: unknown [priv]
    _SYSTEMD_CGROUP=/system.slice/ssh.service
    _SYSTEMD_UNIT=ssh.service
    SYSLOG_PID=31025
    _PID=31025
    MESSAGE=Received disconnect from 183.3.202.172 port 36152:11:  [preauth]
    _SOURCE_REALTIME_TIMESTAMP=1460436218498459
    
por imsodin 12.04.2016 / 12:48

1 resposta

3

Porque journald (provavelmente) diferencia a mensagem de acordo com _COMM do serviço de registro.

sshd está executando vários processos e altera proctitle de acordo. Provavelmente confunde journald . No seu exemplo, o [priv] é distinguido corretamente, mas [preauth] não. O segundo processo também está sendo executado em chroot , mas o pai ( [priv] ) deve registrar para ele.

    
por 12.04.2016 / 18:21

Tags

Edimax EW-7811UN Debian Existe alguma ferramenta para configurar o proxy com o arquivo pac?