Nie mogę znaleźć moich dzienników sshd w standardowych miejscach.
Co próbowałem:
- Nie w
/var/log/auth.log
- Nie w
/var/log/secure
- Czy system szukał
'auth.log'
i nic nie znalazł - Ustawiłem
/etc/ssh/sshd_config
jawnie używaćSyslogFacility AUTH
iLogLevel INFO
ponownie uruchomiłem sshd i nadal nie mogę ich znaleźć.
Używam OpenSSH 6.5p1-2 na Arch Linux.
arch-linux
logs
openssh
sshd
HXCaine
źródło
źródło
journalctl _COMM=sshd
działa.-f
opcji, aby śledzić dziennik:journalctl -fu sshd
apache2
podczas gdy RedHat to wywołujehttpd
).Lepszym sposobem zobaczenia ostatniej części dziennika jest:
Używanie
tail
na wyjściujournalctl
może być bardzo wolne. Na komputerze, na którym próbowałem, zajęło to 5 minut, a powyższe polecenie powraca natychmiast.źródło
Znalazłem dane wyjściowe sshd i innych podstawowych usług w „Journalctl”.
Zobacz więcej na wejściu Arch Wiki dla systemd:
https://wiki.archlinux.org/index.php/systemd#Journal
źródło
Powinieneś być w stanie odfiltrować wiadomości
sshd
za pomocą:lub (w zależności od twojej dystrybucji)
który wyświetla dzienniki w
less
formacie stylu (możesz wyszukiwać/
, nawigować za pomocą PgUp, PgDown itp.).-e
prowadzi do końca dzienników.-u
parametr filtruje przez pole meta,_SYSTEMD_UNIT
które jest ustawione (przynajmniej na Debianie)ssh.service
, więcsshd
nie będzie pasować.-f
śledzi logi w czasie rzeczywistym-n 100
wyświetla podaną liczbę linii (przydatne z-f
)Alternatywnie możesz użyć filtrowania meta-pól:
Możesz wyświetlić cały rekord dziennika ze wszystkimi meta-polami, eksportując do JSON:
to dałoby ci coś takiego:
Jeśli zastanawiasz się, jak wyświetlać tylko komunikaty jądra:
źródło
journalctl _COMM=sshd
)?-u
filtruje przez pole metadanych_SYSTEMD_UNIT
ustawione w Debianie nassh.service
. Wszystkie parametry zaczynające się od znaku podkreślenia uzyskują dostęp do metaplików. W podobny sposób możesz filtrować przez_PID
lub_TRANSPORT
.Spójrz na swoją konfigurację syslog. Najprawdopodobniej
/etc/syslog.conf
lub/etc/rsyslog.conf
powinieneś poszukać linii zauth
na przykład w mojej konfiguracji:auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
źródło
authpriv.* /var/log/secure
wewnątrz pliku/etc/rsyslog.conf