web-dev-qa-db-fra.com

Quel script tourne /var/log/auth.log?

Je n'arrive pas à comprendre où /var/log/auth.log est pivoté.

J'ai trouvé le fichier /var/log/auth.log.2013-09-16 sur mon système, qui contient les entrées de journal précédemment trouvées dans /var/log/auth.log. D'où vient ce fichier?

J'ai ajouté les options -d -D '%Y-%m-%d' à l'appel savelog dans /etc/cron.daily/sysklog et les options dateext et dateformat .%Y-%m-%d à /etc/logrotate.conf, mais je ne sais pas pourquoi. cela devrait affecter la façon dont auth.log est pivoté.

Lieux sur lesquels j'ai enquêté:

  • $ grep auth /etc/logrotate.d/* ne produit aucune correspondance
  • $ grep auth /etc/logrotate.conf ne produit aucune correspondance

  • /etc/cron.daily/sysklog dit ce qui suit à propos de la rotation:

    for LOG in $(syslogd-listfiles)
do
   if [ -s $LOG ]; then
      savelog -g adm -m 640 -u ${USER} -c 7 -d -D '%Y-%m-%d' $LOG \
        > /dev/null
   fi
done

    mais $ syslogd-listfiles ne liste que /var/log/syslog comme candidat à la rotation.

  • D'autres appels à savelog dans /etc et ses sous-répertoires font pivoter les fichiers d'historique dans les répertoires CVS enregistrés, /var/log/boot et aptitude.pkgstates.

  • $ crontab -l répertorie certaines entrées de scripts dans /opt/psa/libexec/modules/watchdog/cp/ (je suppose qu'elles proviennent de Plesk Panels). Cependant, je ne pense pas qu'ils soient responsables, car les fichiers en question étaient nommés avec une extension numérique jusqu'à ce que j'ajoute les options -d -D '%Y-%m-%d' à l'appel savelog de /etc/cron.daily/sysklog et options dateext et dateformat .%Y-%m-%d à /etc/logrotate.conf.

12.04virtualizationadministrationsysloglogrotate
5
Oswald

Au moins sur mon installation Ubuntu 13.04 (machine physique, édition de bureau), auth.log est pivoté de logrotate comme défini dans /etc/logrotate.d/rsyslog. Ceci est correctement trouvé par grep auth /etc/logrotate.d/*. Les fichiers pivotés sont nommés comme d'habitude auth.log, auth.log.1, auth.log.2.gz et ainsi de suite. Pour autant que je sache, c'est le moyen par défaut de gérer le journal d'authentification. Peut-être utilisez-vous une version personnalisée d’Ubuntu.

6
Henning Kockerbeck

J'utilise également 12.04 sur Virtuozzo. Je pense que la configuration du conteneur utilise le mécanisme plus ancien de sysklogd pour la rotation (c.-à-d. Sysklogd dans /etc/cron.daily), ainsi:

$ syslogd-listfiles
/var/log/syslog

mais,

$ syslogd-listfiles --weekly
/var/log/user.log
/var/log/daemon.log
/var/log/messages
/var/log/debug
/var/log/auth.log
/var/log/mail.log
/var/log/kern.log
/var/log/lpr.log

Donc je pense que c'est correct. (Remarque: j'ai vidé le courrier divisé. * Logging qui enregistre tout en double dans mail.info et mail.log)

Cependant, j’ai remarqué que le travail /etc/cron.weekly/sysklogd manquait dans mon VM. Il a donc fallu l’ajouter manuellement.

Syslogd-listfiles doit également faire l’objet de vérifications supplémentaires pour exclure les très petits fichiers journaux de la rotation. Donc, si rien n'est enregistré, ils ne seront pas retournés.

0
Mike