Gdzie są moje dzienniki sshd?

57

Nie mogę znaleźć moich dzienników sshd w standardowych miejscach.

Co próbowałem:

Nie w /var/log/auth.log
Nie w /var/log/secure
Czy system szukał 'auth.log'i nic nie znalazł
Ustawiłem /etc/ssh/sshd_configjawnie używać SyslogFacility AUTHi LogLevel INFOponownie uruchomiłem sshd i nadal nie mogę ich znaleźć.

Używam OpenSSH 6.5p1-2 na Arch Linux.

— HXCaine
źródło

51

Wypróbuj to polecenie, aby wyświetlić dziennik z systemuctl:

journalctl -u sshd |tail -100

— gładki
źródło

20

To nie wydaje się działać, ale journalctl _COMM=sshddziała.

— wingedsubmariner

3

Ach, tak - systemctl jest całkowicie spójny i przewidywalny jak zwykle.

— g33kz0r,

3

Możesz użyć -fopcji, aby śledzić dziennik:journalctl -fu sshd

— bzeaman

wingedsubmariner - Wiem, że minęły już prawie 4 lata, ale ... pamiętasz, jak się wtedy grałeś? Podejrzewam, że plik jednostkowy twojej dystrybucji nazywał się „openssh” lub po prostu „ssh” zamiast „sshd”. Problemem związanym z projektem systemowym jest to, że uważają dystrybucje za swoich użytkowników, a dystrybucje mogą używać dowolnych nazw plików jednostkowych (takich jak Debian wywołuje serwer apache apache2podczas gdy RedHat to wywołuje httpd).

— bobpaul,

25

Lepszym sposobem zobaczenia ostatniej części dziennika jest:

journalctl -u sshd -n 100

Używanie tailna wyjściu journalctlmoże być bardzo wolne. Na komputerze, na którym próbowałem, zajęło to 5 minut, a powyższe polecenie powraca natychmiast.

— eMBee
źródło

3

I nie tracisz kolorowania linii! Powinno być najlepsze rozwiązanie imo

— kuzyn

12

Znalazłem dane wyjściowe sshd i innych podstawowych usług w „Journalctl”.

Zobacz więcej na wejściu Arch Wiki dla systemd:

https://wiki.archlinux.org/index.php/systemd#Journal

— HXCaine
źródło

7

Powinieneś być w stanie odfiltrować wiadomości sshdza pomocą:

journalctl -u ssh

lub (w zależności od twojej dystrybucji)

journalctl -u sshd

który wyświetla dzienniki w lessformacie stylu (możesz wyszukiwać /, nawigować za pomocą PgUp, PgDown itp.).

-e prowadzi do końca dzienników.
-uparametr filtruje przez pole meta, _SYSTEMD_UNITktóre jest ustawione (przynajmniej na Debianie) ssh.service, więc sshdnie będzie pasować.
-f śledzi logi w czasie rzeczywistym
-n 100wyświetla podaną liczbę linii (przydatne z -f)

Alternatywnie możesz użyć filtrowania meta-pól:

journalctl _COMM=sshd

Możesz wyświetlić cały rekord dziennika ze wszystkimi meta-polami, eksportując do JSON:

journalctl -u ssh -o json-pretty

to dałoby ci coś takiego:

    ...
    "_PID" : "7373",
    "_COMM" : "sshd",
    "_EXE" : "/usr/sbin/sshd",
    "_SYSTEMD_CGROUP" : "/system.slice/ssh.service",
    "_SYSTEMD_UNIT" : "ssh.service",
    ...

Jeśli zastanawiasz się, jak wyświetlać tylko komunikaty jądra:

journalctl -k -f

— Tombart
źródło

Czy masz wyjaśnienie tej dziwnej składni ( journalctl _COMM=sshd)?

— Ortomala Lokni

@OrtomalaLokni -ufiltruje przez pole metadanych _SYSTEMD_UNITustawione w Debianie na ssh.service. Wszystkie parametry zaczynające się od znaku podkreślenia uzyskują dostęp do metaplików. W podobny sposób możesz filtrować przez _PIDlub _TRANSPORT.

— Tombart

1

Spójrz na swoją konfigurację syslog. Najprawdopodobniej /etc/syslog.conflub /etc/rsyslog.conf powinieneś poszukać linii z authna przykład w mojej konfiguracji:

auth,authpriv.* /var/log/auth.log

*.*;auth,authpriv.none -/var/log/syslog

— b13n1u
źródło

4

Żaden z tych plików nie istnieje. Sądzę, że te pliki są tworzone przez syslog-ng, podczas gdy Arch zastąpił je systemd

— HXCaine

W Scientific Linux authpriv. * Wskaż authpriv.* /var/log/securewewnątrz pliku /etc/rsyslog.conf

— Salem F