config-h unter /var/etc/

Das bedeutet, dass sich heute morgen jemand mit dem falschen Passwort auf dem FTP-Server einloggen wollte. Mit der Loggeschichte kann ich dir leider nicht groß weiter helfen

Habe den Fehler gefunden.

die konfigurationsdateien für die Logfiles liegen unter

"/etc/rsyslog.d/" und "/etc/rsyslog.conf"

Bei beiden waren die Parameter aktiviert. Wahrscheinlich wurde in der /etc/rsyslog.conf durch das ipc installationscript der Eintrag hinzugefügt.

auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog

habe einfach die zwei Parameter unter "/etc/rsyslog.conf" auskommentiert.Doppelte Einträge sind Geschichte.