Мой опыт с этой проблемой происходит, когда один из моих хостов имеет изменение IP-адреса. NTP имеет тенденцию открывать сокеты, характерные для интерфейса. Попытайтесь перезапустить NTP и посмотрите, ведет ли он себя.
Вот решение для отправки всех команд, выполняемых к серверу системного журнала.
http://blog.rootshell.be/2009/02/28/bash-history-to-syslog/
Извлечение из сообщения в блоге
Вот два метода для отправки копии всех команд, выполняемых пользователями к серверу Системного журнала. Первый использует функцию “прерывания” Bash. Второй является патчем для применения в исходном коде Bash.
Используя прерывание
Просто добавьте следующие строки в своем/etc/profile:
function log2syslog
{
declare command
command=$(fc -ln -0)
logger -p local1.notice -t bash -i — $USER : $command
}
trap log2syslog DEBUG
/etc/profile
анализируется и выполняется, когда Bash запускается. Цель состоит в том, чтобы использовать функцию прерывания и вызвать функцию каждый раз, когда пользователь генерирует действие. Функция прерывания (log2syslog) извлечет последнюю команду из истории и зарегистрирует ее к Системному журналу с помощью команды регистратора. Очень легкий реализовать, но этот метод:
spawns new process at each command logged (can have a negative effect when the server activity is high)
is not transparent to the user (regular users can’t edit /etc/profile but can read it!)
Вот почему второй метод будет предпочтен. Используя патч
Метод должен применить патч на исходное дерево Bash и перекомпилировать оболочку. Это требует среды с компилятором и исходным кодом, но этот метод будет использовать меньше ЦП и будет абсолютно прозрачен!
Пример патча доступен здесь. Требуется пять минут для ручного применения патча к исходному Bash 4 дереву.
Вот пример сообщения Системного журнала:
Feb 27 19:30:51 honey bash: HISTORY: PID=21099 UID=1000 echo foo!
Если Вы хотите зарегистрировать то, что делают Ваши пользователи, затем смотрят на излишне любопытный. Это также доступно как пакет для установки для CentOS.