На этот вопрос уже есть ответ здесь:
У меня есть записи журнала sshd из прошлого, которые, казалось бы, случайным образом смешиваются (по времени) с текущими записями журнала.
На этом сервере нет журналов удаленных хостов, rsyslog обслуживает только это поле. Внешний доступ к прослушивателю rsyslog заблокирован брандмауэром. Версия sshd: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2. Sshd регистрировался на daemon: info, но с тех пор я поднялся до daemon: verbose. TcpKeepAlive - это да на сервере. Записи выглядят как действительные сообщения об отключении клиента. IP-адрес клиента мне известен, и ему разрешено использовать ssh по правилам брандмауэра. Версия клиента: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2. Клиентский / etc / ssh / ssh_config указывает ServerAliveInterval 60. Клиент создает перенаправления портов на сервере. Затем процесс на сервере периодически передает данные на клиентский порт с помощью netcat.
Ошибочная отметка даты и времени, а также кажущиеся старыми записи журнала смешиваются с текущими записями журнала. Может ли это быть симптомом старых прерванных сеансов, оставшихся после нечистого выхода?
Любые предложения приветствуются, спасибо.
Скорее всего, это то же самое, что и этот вопрос / ответ: Непонятный порядок системного журнала
TL; DR: Ошибка Rsyslog с включенным RepeatedMsgReduction в последних версиях.