Não consigo encontrar meus logs sshd nos locais padrão.
O que eu tentei:
- Não em
/var/log/auth.log
- Não em
/var/log/secure
- Um sistema procurou
'auth.log'
e não encontrou nada - Eu definir
/etc/ssh/sshd_config
explicitamente usarSyslogFacility AUTH
eLogLevel INFO
e reiniciado sshd e ainda não pode encontrá-los.
Estou usando o OpenSSH 6.5p1-2 no Arch Linux.
arch-linux
logs
openssh
sshd
HXCaine
fonte
fonte
journalctl _COMM=sshd
funciona.-f
opção de seguir o log:journalctl -fu sshd
apache2
enquanto o RedHat o chamahttpd
).Uma maneira melhor de ver a última parte do log é:
O uso
tail
da saída dejournalctl
pode ser muito lento. Demorou 5 minutos em uma máquina onde eu tentei, enquanto o comando acima retorna instantaneamente.fonte
Eu encontrei a saída do sshd e outros serviços principais no 'journalctl'.
Veja mais na entrada do Arch Wiki para systemd:
https://wiki.archlinux.org/index.php/systemd#Journal
fonte
Você deve conseguir filtrar as mensagens
sshd
usando:ou (dependendo da sua distribuição)
que mostrará os logs em um
less
formato de estilo (você pode pesquisar/
, navegar pelo PgUp, PgDown etc.).-e
leva você ao final dos logs.-u
O parâmetro filtra através do meta field_SYSTEMD_UNIT
que é (pelo menos no Debian) definido comossh.service
, portantosshd
, não corresponde.-f
segue logs em tempo real-n 100
exibe determinado número de linhas (útil com-f
)Como alternativa, você pode usar a filtragem de meta-campos:
Você pode exibir todo o registro do diário com todos os meta-campos exportando para JSON:
isso lhe daria algo como:
Caso você queira saber como exibir apenas mensagens do kernel:
fonte
journalctl _COMM=sshd
)?-u
filtra através do campo de metadados_SYSTEMD_UNIT
que está no Debian definido comossh.service
. Todos os parâmetros que começam com sublinhado estão acessando metafiels. De maneira semelhante, você pode filtrar via_PID
ou_TRANSPORT
.Dê uma olhada na sua configuração de syslog. Mais provavelmente
/etc/syslog.conf
ou/etc/rsyslog.conf
você deve procurar linhas com,auth
por exemplo, na minha configuração:auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
fonte
authpriv.* /var/log/secure
dentro do arquivo/etc/rsyslog.conf