it-swarm.com.de

Wo sind meine SSHD-Protokolle?

Ich kann meine sshd-Protokolle nicht an den Standardorten finden.

Was ich versucht habe:

  • Nicht in /var/log/auth.log
  • Nicht in /var/log/secure
  • Hat ein System nach 'auth.log' Gesucht und nichts gefunden
  • Ich habe /etc/ssh/sshd_config So eingestellt, dass SyslogFacility AUTH Und LogLevel INFO Explizit verwendet werden, und sshd neu gestartet und kann sie immer noch nicht finden.

Ich verwende OpenSSH 6.5p1-2 unter Arch Linux.

62
HXCaine

Ich habe die Ausgabe von sshd und anderen Kerndiensten in 'journalctl' gefunden.

Weitere Informationen finden Sie im Arch Wiki-Eintrag für systemd:

https://wiki.archlinux.org/index.php/systemd#Journal

12
HXCaine

Versuchen Sie diesen Befehl, um das Protokoll von systemctl anzuzeigen:

journalctl -u sshd |tail -100
58
smooth

Eine bessere Möglichkeit, den letzten Teil des Protokolls anzuzeigen, ist:

journalctl -u sshd -n 100

Die Verwendung von tail für die Ausgabe von journalctl kann sehr langsam sein. Auf einem Computer, auf dem ich es ausprobiert habe, dauerte es 5 Minuten, während der obige Befehl sofort zurückgegeben wird.

29
eMBee

Sie sollten in der Lage sein, Nachrichten aus sshd zu filtern, indem Sie:

journalctl -u ssh

oder (abhängig von Ihrer Distribution)

journalctl -u sshd

hier werden Protokolle im Format less angezeigt (Sie können / suchen, über PgUp, PgDown usw. navigieren).

  • -e Bringt Sie zum Ende der Protokolle.
  • Der Parameter -u Filtert durch das Metafeld _SYSTEMD_UNIT, Das (zumindest unter Debian) auf ssh.service Gesetzt ist, sodass sshd nicht übereinstimmt.
  • -f Verfolgt Protokolle in Echtzeit
  • -n 100 Zeigt die angegebene Anzahl von Zeilen an (nützlich bei -f)

Alternativ können Sie die Metafelderfilterung verwenden:

journalctl _COMM=sshd

Sie können den gesamten Journaldatensatz mit allen Metafeldern anzeigen, indem Sie ihn nach JSON exportieren:

journalctl -u ssh -o json-pretty

das würde dir so etwas geben wie:

    ...
    "_PID" : "7373",
    "_COMM" : "sshd",
    "_EXE" : "/usr/sbin/sshd",
    "_SYSTEMD_CGROUP" : "/system.slice/ssh.service",
    "_SYSTEMD_UNIT" : "ssh.service",
    ...

Falls Sie sich fragen, wie nur Kernel-Nachrichten angezeigt werden sollen:

journalctl -k -f
9
Tombart

Sehen Sie sich Ihre Syslog-Konfiguration an. Am wahrscheinlichsten /etc/syslog.conf oder /etc/rsyslog.conf Sie sollten nach Zeilen mit auth suchen, zum Beispiel in meiner Konfiguration:

auth,authpriv.* /var/log/auth.log

*.*;auth,authpriv.none -/var/log/syslog

1
b13n1u