Запись ряда системных логов может приостановиться не только по причине остановки службы rsyslog. В частности наверняка останавливается запись таких важных логов:
- /var/log/auth.log
- /var/log/daemon.log
При этом со службами rsyslog и logrotate всё в порядке(естественно в первую очередь проверяем их). А виновницей всему может оказаться служба systemd-journald
Вывод journalctl -f нам показывает сообщения 3 месячной давности.
Обязательно проверим её статус и видим следующее:
root@server0:~# systemctl status systemd-journald ? systemd-journald.service - Journal Service Loaded: loaded (/lib/systemd/system/systemd-journald.service; static) Active: failed (Result: start-limit) since Sat 2020-10-10 10:43:08 MSK; 3 months 3 days ago Docs: man:systemd-journald.service(8) man:journald.conf(5) Main PID: 5443 (code=killed, signal=USR1)
Служба была убита 3 месяца назад, в этом и есть основная причина траблов.
Однако, 1-го рестарта службы может оказаться недостаточно:
root@server0:~# systemctl restart systemd-journald root@server0:~# systemctl status systemd-journald ? systemd-journald.service - Journal Service Loaded: loaded (/lib/systemd/system/systemd-journald.service; static) Active: failed (Result: start-limit) since Wed 2021-01-13 02:14:37 MSK; 1s ago Docs: man:systemd-journald.service(8) man:journald.conf(5) Process: 29911 ExecStart=/lib/systemd/systemd-journald (code=killed, signal=USR1) Main PID: 29911 (code=killed, signal=USR1) root@server0:~# systemctl restart journald root@server0:~# systemctl status systemd-journald ? systemd-journald.service - Journal Service Loaded: loaded (/lib/systemd/system/systemd-journald.service; static) Active: failed (Result: start-limit) since Wed 2021-01-13 02:19:44 MSK; 6s ago Docs: man:systemd-journald.service(8) man:journald.conf(5) Process: 32657 ExecStart=/lib/systemd/systemd-journald (code=killed, signal=USR1) Main PID: 32657 (code=killed, signal=USR1) root@server0:~# systemctl restart systemd-journald
Процедуру нужно повторять, всё должно «завестись» раза с 5-го.
Почему 22 порт SSH нужно обязательно менять на не стандартный