Sshd kayıtlarım nerede?


57

Standart yerlerde sshd kayıtlarımı bulamıyorum.

Ne denedim:

  • Değil /var/log/auth.log
  • Değil /var/log/secure
  • Bir sistem aradı 'auth.log've hiçbir şey bulamadı
  • Ben kurdum /etc/ssh/sshd_configaçıkça kullanmak SyslogFacility AUTHve LogLevel INFOonları bulamıyorum hala ve sshd yeniden ve.

Arch Linux'ta OpenSSH 6.5p1-2 kullanıyorum.

Yanıtlar:


50

Systemctl'den günlüğü görüntülemek için bu komutu deneyin:

journalctl -u sshd |tail -100

20
Bu işe yaramadı gibi görünüyor journalctl _COMM=sshd.
wingedsubmariner

3
Ah, evet - systemctl her zamanki gibi tamamen tutarlı ve öngörülebilir.
g33kz0r

3
-fGünlüğü takip etmek için bu seçeneği kullanabilirsiniz :journalctl -fu sshd
bzeaman

wingedsubmariner - Neredeyse 4 yıl geçtiğini biliyorum, fakat ... o sırada ne tür bir rahatsızlık yaşadığınızı hatırlıyor musunuz? Dağıtımınızdaki birim dosyasının "sshd" yerine "openssh" veya "ssh" olarak adlandırıldığından şüpheleniyorum. Systemd projesinde mesele, dağıtıcıları kullanıcıları olarak görmeleridir ve dağıtımlar, birim dosyalar için istedikleri isimleri kullanmakta özgürdürler (Debian apache2, RedHat onu çağırırken Debache apache'nin web sunucusunu çağırır httpd).
bobpaul

24

Günlüğün son bölümünü görmenin daha iyi bir yolu:

journalctl -u sshd -n 100

Kullanımı tailçıkışındaki journalctlçok yavaş olabilir. Yukarıdaki komut anında geri dönerken denedim bir makinede 5 dakika sürdü.


3
Ve çizgi boyamalarını kaybetmezsin! En iyi çözüm olmalı imo
kuzyn


7

İletileri sshdkullanarak şunları filtreleyebilmeniz gerekir :

journalctl -u ssh

veya (dağıtımınıza bağlı olarak)

journalctl -u sshd

Bu, günlükleri lessstil biçiminde gösterecektir (arama yapabilir /, PgUp, PgDown vb. ile gezinebilirsiniz).

  • -e seni günlüklerin sonuna getiriyor.
  • -uparametre _SYSTEMD_UNIT(en azından Debian'da) olarak ayarlanan meta alan aracılığıyla filtrelenir ssh.service, böylece sshdeşleşmez.
  • -f günlükleri gerçek zamanlı olarak takip eder
  • -n 100Verilen satır sayısını gösterir (ile yararlıdır -f)

Alternatif olarak, filtreleme meta alanları kullanabilirsiniz:

journalctl _COMM=sshd

JSON'a dışa aktararak tüm günlük alanlarını tüm meta alanlarıyla görüntüleyebilirsiniz:

journalctl -u ssh -o json-pretty

Bu size şöyle bir şey verirdi:

    ...
    "_PID" : "7373",
    "_COMM" : "sshd",
    "_EXE" : "/usr/sbin/sshd",
    "_SYSTEMD_CGROUP" : "/system.slice/ssh.service",
    "_SYSTEMD_UNIT" : "ssh.service",
    ...

Yalnızca çekirdek mesajlarının nasıl görüntüleneceğini merak ediyorsanız:

journalctl -k -f

Bu garip sözdizimi ( journalctl _COMM=sshd) için bir açıklamanız var mı?
Ortomala Lokni

@OrtomalaLokni , Debian'da ayarlanan -umeta veri alanını filtreler . Alt çizgi ile başlayan tüm paragraflar metaforlara erişiyor. Benzer şekilde veya ile filtre edebilirsiniz . _SYSTEMD_UNITssh.service_PID_TRANSPORT
Tombart

1

Sistem günlüğü yapılandırmanıza bir göz atın. Çoğu probalby /etc/syslog.confveya /etc/rsyslog.conf You authconfig ile benim gibi satırları aramalısınız :

auth,authpriv.* /var/log/auth.log

*.*;auth,authpriv.none -/var/log/syslog


4
Bu dosyaların hiçbiri yok. Bu dosyaların
sistematik

Scientific Linux'ta authpriv. * authpriv.* /var/log/secure, Dosyanın içine işaret eder/etc/rsyslog.conf
Salem F
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.