Ich kann meine sshd-Protokolle an den Standardorten nicht finden.
Was ich versucht habe:
- Nicht in
/var/log/auth.log
- Nicht in
/var/log/secure
- Hat ein System gesucht
'auth.log'
und nichts gefunden - Ich habe sshd
/etc/ssh/sshd_config
explizit verwendetSyslogFacility AUTH
undLogLevel INFO
neu gestartet und kann sie immer noch nicht finden.
Ich verwende OpenSSH 6.5p1-2 unter Arch Linux.
arch-linux
logs
openssh
sshd
HXCaine
quelle
quelle
journalctl _COMM=sshd
tut es aber .-f
Option verwenden, um das Protokoll zu verfolgen:journalctl -fu sshd
apache2
während RedHat ihn aufrufthttpd
).Ein besserer Weg, um den letzten Teil des Protokolls zu sehen, ist:
Die Verwendung
tail
am Ausgang vonjournalctl
kann sehr langsam sein. Auf einem Computer, auf dem ich es ausprobiert habe, dauerte es 5 Minuten, während der obige Befehl sofort zurückgegeben wird.quelle
Ich habe die Ausgabe von sshd und anderen Kerndiensten in 'journalctl' gefunden.
Weitere Informationen finden Sie im Arch Wiki-Eintrag für systemd:
https://wiki.archlinux.org/index.php/systemd#Journal
quelle
Sie sollten in der Lage sein, Nachrichten
sshd
anhand folgender Kriterien zu filtern :oder (abhängig von Ihrer Distribution)
Die Protokolle werden in einem
less
Stilformat/
angezeigt (Sie können suchen , über PgUp, PgDown usw. navigieren).-e
bringt Sie zum Ende der Protokolle.-u
Parameterfilter durch Metafeld,_SYSTEMD_UNIT
das (zumindest unter Debian) auf gesetzt istssh.service
,sshd
stimmen daher nicht überein.-f
Verfolgt Logs in Echtzeit-n 100
Zeigt die angegebene Anzahl von Zeilen an (nützlich bei-f
)Alternativ können Sie die Metafeldfilterung verwenden:
Sie können den gesamten Journaleintrag mit allen Metafeldern anzeigen, indem Sie nach JSON exportieren:
das würde dir etwas geben wie:
Falls Sie sich fragen, wie Sie nur Kernelmeldungen anzeigen können:
quelle
journalctl _COMM=sshd
)?-u
filtert durch das Metadatenfeld_SYSTEMD_UNIT
, auf das Debian eingestellt istssh.service
. Alle Parameter, die mit einem Unterstrich beginnen, greifen auf Metafelder zu. In ähnlicher Weise können Sie über_PID
oder filtern_TRANSPORT
.Sehen Sie sich Ihre Syslog-Konfiguration an. Meistens probalby
/etc/syslog.conf
oder/etc/rsyslog.conf
Du solltest nach Zeilen mitauth
zum Beispiel in meiner Konfig suchen :auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
quelle
authpriv.* /var/log/secure
in die Datei/etc/rsyslog.conf