web-dev-qa-db-fra.com

Où sont mes journaux sshd?

Je ne trouve pas mes journaux sshd dans les emplacements standard.

Ce que j'ai essayé:

  • Pas dedans /var/log/auth.log
  • Pas dedans /var/log/secure
  • Un système a-t-il recherché 'auth.log' et n'a rien trouvé
  • J'ai mis /etc/ssh/sshd_config pour utiliser explicitement SyslogFacility AUTH et LogLevel INFO et redémarré sshd et ne les trouve toujours pas.

J'utilise OpenSSH 6.5p1-2 sur Arch Linux.

arch-linuxlogsopensshsshd
62
HXCaine

J'ai trouvé la sortie de sshd et d'autres services de base dans 'journalctl'.

Voir plus à l'entrée Arch Wiki pour systemd:

https://wiki.archlinux.org/index.php/systemd#Journal

12
HXCaine

Essayez cette commande pour afficher le journal de systemctl:

journalctl -u sshd |tail -100
58
smooth

Une meilleure façon de voir la dernière partie du journal est:

journalctl -u sshd -n 100

L'utilisation de tail sur la sortie de journalctl peut être très lente. Cela a pris 5 minutes sur une machine où je l'ai essayé, tandis que la commande ci-dessus revient instantanément.

29
eMBee

Vous devriez pouvoir filtrer les messages de sshd en utilisant:

journalctl -u ssh

ou (selon votre distribution)

journalctl -u sshd

qui affichera les journaux au format less (vous pouvez rechercher /, naviguez via PgUp, PgDown etc.).

  • -e vous amène à la fin des journaux.
  • -u filtres de paramètres par méta-champ _SYSTEMD_UNIT qui est (au moins sur Debian) réglé sur ssh.service, donc sshd ne correspondra pas.
  • -f suit les journaux en temps réel
  • -n 100 affiche un nombre donné de lignes (utile avec -f)

Vous pouvez également utiliser le filtrage des méta-champs:

journalctl _COMM=sshd

Vous pouvez afficher l'enregistrement de journal entier avec tous les méta-champs en exportant vers JSON:

journalctl -u ssh -o json-pretty

cela vous donnerait quelque chose comme:

    ...
    "_PID" : "7373",
    "_COMM" : "sshd",
    "_EXE" : "/usr/sbin/sshd",
    "_SYSTEMD_CGROUP" : "/system.slice/ssh.service",
    "_SYSTEMD_UNIT" : "ssh.service",
    ...

Si vous vous demandez comment afficher uniquement les messages du noyau:

journalctl -k -f
9
Tombart

Jetez un œil à votre configuration syslog. La plupart probalby /etc/syslog.conf ou /etc/rsyslog.conf Vous devriez chercher des lignes avec auth par exemple dans ma configuration:

auth,authpriv.* /var/log/auth.log

*.*;auth,authpriv.none -/var/log/syslog

1
b13n1u