Red Hat Linuxのsshdログファイルはどこに保存されますか？

誰かがRedHatとSELinuxのSSHDログの場所を教えてください。

通常、ログインレコードは/ var / log / secureにあります。他のsyslogメッセージから特定しない限り、SSHデーモンプロセスに固有のログはないと思います。

@johnの回答に加えて、一部のディストリビューションは現在、デフォルトでjournalctlを使用しています。それがあなたの場合、あなたはおそらく以下sshdを通して活動を見ることができるでしょう：

_> journalctl _COMM=sshd

次のような出力が表示されます。

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

実際、ログはRHELシステムの/ var / log / secureにあります。SSHD接続は次のようになります。

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

アカウントが侵害されているかどうかを判断するための最も重要な部分はIPアドレスです。

RHEL / CentOS 7を使用している場合、システムはsystemdを使用するため、journalctlを使用します。上記のように、を使用できますjournalctl _COMM=sshd。ただし、次のコマンドを使用してこれを表示することもできます。

# journalctl -u sshd

次のコマンドでもredhatのバージョンを確認できます。

# cat /etc/*release

これにより、Linuxのバージョンに関するバージョン情報が表示されます。

チェックアウト/var/log/secure あなたがよくとして、以前のファイルを検索する必要があるかもしれないので、セキュアなログが回転します。例えば/var/log/secure-20190903

また、ログファイルで特定の行を検索することもできます（これらのサンプルIPアドレスを生成するためにキーボードを叩いたので、あまり意味を持たないようにしてください）

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*