Sshd kayıtlarım nerede?

57

Standart yerlerde sshd kayıtlarımı bulamıyorum.

Ne denedim:

Değil /var/log/auth.log
Değil /var/log/secure
Bir sistem aradı 'auth.log've hiçbir şey bulamadı
Ben kurdum /etc/ssh/sshd_configaçıkça kullanmak SyslogFacility AUTHve LogLevel INFOonları bulamıyorum hala ve sshd yeniden ve.

Arch Linux'ta OpenSSH 6.5p1-2 kullanıyorum.

— HXCaine
kaynak

50

Systemctl'den günlüğü görüntülemek için bu komutu deneyin:

journalctl -u sshd |tail -100

— düz, pürüzsüz
kaynak

20

Bu işe yaramadı gibi görünüyor journalctl _COMM=sshd.

— wingedsubmariner

3

Ah, evet - systemctl her zamanki gibi tamamen tutarlı ve öngörülebilir.

— g33kz0r

3

-fGünlüğü takip etmek için bu seçeneği kullanabilirsiniz :journalctl -fu sshd

— bzeaman

wingedsubmariner - Neredeyse 4 yıl geçtiğini biliyorum, fakat ... o sırada ne tür bir rahatsızlık yaşadığınızı hatırlıyor musunuz? Dağıtımınızdaki birim dosyasının "sshd" yerine "openssh" veya "ssh" olarak adlandırıldığından şüpheleniyorum. Systemd projesinde mesele, dağıtıcıları kullanıcıları olarak görmeleridir ve dağıtımlar, birim dosyalar için istedikleri isimleri kullanmakta özgürdürler (Debian apache2, RedHat onu çağırırken Debache apache'nin web sunucusunu çağırır httpd).

— bobpaul

24

Günlüğün son bölümünü görmenin daha iyi bir yolu:

journalctl -u sshd -n 100

Kullanımı tailçıkışındaki journalctlçok yavaş olabilir. Yukarıdaki komut anında geri dönerken denedim bir makinede 5 dakika sürdü.

— EMBEE
kaynak

3

Ve çizgi boyamalarını kaybetmezsin! En iyi çözüm olmalı imo

— kuzyn

12

Sshd ve diğer çekirdek servislerin çıktılarını 'journalctl' de buldum.

Systemd için Arch Wiki girişinde daha fazlasını görün:

https://wiki.archlinux.org/index.php/systemd#Journal

— HXCaine
kaynak

7

İletileri sshdkullanarak şunları filtreleyebilmeniz gerekir :

journalctl -u ssh

veya (dağıtımınıza bağlı olarak)

journalctl -u sshd

Bu, günlükleri lessstil biçiminde gösterecektir (arama yapabilir /, PgUp, PgDown vb. ile gezinebilirsiniz).

-e seni günlüklerin sonuna getiriyor.
-uparametre _SYSTEMD_UNIT(en azından Debian'da) olarak ayarlanan meta alan aracılığıyla filtrelenir ssh.service, böylece sshdeşleşmez.
-f günlükleri gerçek zamanlı olarak takip eder
-n 100Verilen satır sayısını gösterir (ile yararlıdır -f)

Alternatif olarak, filtreleme meta alanları kullanabilirsiniz:

journalctl _COMM=sshd

JSON'a dışa aktararak tüm günlük alanlarını tüm meta alanlarıyla görüntüleyebilirsiniz:

journalctl -u ssh -o json-pretty

Bu size şöyle bir şey verirdi:

    ...
    "_PID" : "7373",
    "_COMM" : "sshd",
    "_EXE" : "/usr/sbin/sshd",
    "_SYSTEMD_CGROUP" : "/system.slice/ssh.service",
    "_SYSTEMD_UNIT" : "ssh.service",
    ...

Yalnızca çekirdek mesajlarının nasıl görüntüleneceğini merak ediyorsanız:

journalctl -k -f

— Tombart
kaynak

Bu garip sözdizimi ( journalctl _COMM=sshd) için bir açıklamanız var mı?

— Ortomala Lokni

@OrtomalaLokni , Debian'da ayarlanan -umeta veri alanını filtreler . Alt çizgi ile başlayan tüm paragraflar metaforlara erişiyor. Benzer şekilde veya ile filtre edebilirsiniz . _SYSTEMD_UNITssh.service_PID_TRANSPORT

— Tombart

1

Sistem günlüğü yapılandırmanıza bir göz atın. Çoğu probalby /etc/syslog.confveya /etc/rsyslog.conf You authconfig ile benim gibi satırları aramalısınız :

auth,authpriv.* /var/log/auth.log

*.*;auth,authpriv.none -/var/log/syslog

— b13n1u
kaynak

4

Bu dosyaların hiçbiri yok. Bu dosyaların

— sistematik

Scientific Linux'ta authpriv. * authpriv.* /var/log/secure, Dosyanın içine işaret eder/etc/rsyslog.conf

— Salem F