CentOSでsshdログファイルの場所を変更しますか?

14

sshdCentOSでログファイルの場所を変更するにはどうすればよいですか?sshd/var/log/messages代わりにログインします/var/log/securesshdログの送信を停止するように設定を変更するにはどうすればよい/var/log/messagesですか?

centos  logs 
ジドリック
ソース
1
あなた/var/log/messageはそれを本当に書き続けるのですか?一般的には/var/log/messagesです。
slm
1
@slm ここにそれがあった/var/log/messages、多分OPは両方;-)ている
Anthonの
私のUbuntuシステムには、sshログはである/var/log/auth.log
エリック王

回答:

18

sshd_config何か他のものがアップしているように見えることを投稿してください。ストックCentOSシステムは常ににログを記録し/var/log/secureます。

$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo:     saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure

これは次の方法で制御されます/etc/ssh/sshd_config

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

の内容と同様に/etc/rsyslog.conf

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

あなたの問題

あなたのコメントの1つで、あなたはあなたのrsyslogd設定ファイルが命名されたと述べました/etc/rsyslog.config。それはこのファイルの正しい名前ではなく、おそらくあなたのロギングが台無しにされる理由です。このファイルの名前をに変更してから/etc/rsyslog.conf、ロギングサービスを再起動します。

$ sudo service rsyslog restart
slm
ソース
「SyslogFacility AUTHPRIV」がコメントアウトされている場合、ありがとうございます。sshdはデフォルトが何であるかをどのように知るのですか?デフォルトは、編集可能な場所に保存されていますか?
Jidrick
デフォルトは、sshd実行可能ファイルのコンパイルに使用されたソースコードにあります。デフォルトを上書きする場合は、sshdコマンドラインオプションを指定するか、その構成ファイルを編集できます。
マークプロトニック14
@MarkPlotnick-はい(上記のように構成ファイルで通常行われるように)デフォルトは構成ファイルに表示されますが、コメントアウトされます。そのsshため、デフォルトでLogLevel設定さINFOれるようにコンパイルされました。オーバーライドするには、その行のコメントを外してから値を変更する必要があります。
slm
3

デフォルトのsshdsyslog機能はAUTHですので、syslogに記録されます/var/log/messages

sshd新しいファイルにログを作成するには、syslog機能を他のファイルに変更し、syslogを設定してこの新しい機能を新しいファイルに記録します。

sshd_configで、次の行を追加します。

SyslogFacility AUTHPRIV

次に、syslog.confで:

authpriv.* /var/log/secure
クオンルム
ソース
@Jidrick-箱に何か問題があります。それは壊れているように見えます。
slm
@Jidrick:rsyslogのような他のものをチェックできますか?
cuonglm 14
@Gnouc- SyslogFacility AUTHPRIVRHディストリビューションではすでにデフォルトです。パッケージの一部としてそれをオーバーライドします。
slm
@Gnoucはい、しかしこれを変更してもうまくいかないようです。
ジドリック14
@Jidrick -ファイルの名前を変更/etc/rsyslog.configします/etc/rsyslog.conf
slm
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.