Сначала схвати файл журнала и читай его сверху вниз. Ищи первую строку, которая выглядит подозрительно – проверь метку времени, пользователя или ID процесса, который её создал. Как только заметишь PID или пользователя, зайди в системные логи (вроде /var/log/auth.log или /var/log/messages) и посмотри, что этот пользователь делал в это время. Если это скрипт или сервис, проследи, кому он принадлежит и где он настроен на запись логов. Проверь права доступа к файлу – кто его владелец и когда он последний раз изменялся. Если и это не поможет, используй grep, чтобы найти в логе этот странный шаблон и посмотри, какие процессы были активны, когда он появился. В конце концов, определи пользователя или сервис, который создал эту ошибочную запись – вот тебе и источник.

Точно подмечено – всегда сначала синхронизируй время лога с NTP-сервера. Если время совпадает и ротация чистая, значит, эта плохая запись точно из работающего процесса. Просто следи за PID службы, пока она работает; если она пишет ту же чушь, значит, ты нашёл виновника. Иначе, копай, кто запустил этот PID – вот настоящий источник.

Да, всё та же схема работает. Иди по цепочке PID, и если опять вылезет, значит, перед тобой рецидивист. Если постоянно меняется – гонись за владельцем. Удачи, дружище.

Звучит отлично, братан. Следи за этим PID-ом, я за тебя болею. Удачи!