CentOS에서 sshd 로그 파일 위치를 변경하시겠습니까?

sshd_config다른 콘텐츠도 완료된 것으로 보이니 게시해 주세요 . Stock CentOS 시스템은 항상 /var/log/secure.

예

$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo:     saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure

이는 다음을 통해 제어됩니다 /etc/ssh/sshd_config.

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

그리고 다음 /etc/rsyslog.conf:

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

너의 문제

rsyslogd귀하의 의견 중 하나에서 구성 파일 이름이 이라고 언급되었습니다 /etc/rsyslog.config. 이는 파일의 올바른 이름이 아니며 로깅이 실패하는 이유일 수 있습니다. 이 파일의 이름을 로 변경 /etc/rsyslog.conf한 후 로깅 서비스를 다시 시작하십시오.

$ sudo service rsyslog restart

기본 sshdsyslog 기능은 AUTHsyslog에 로그인하는 것입니다 /var/log/messages.

sshd새 파일에 기록 하려면 syslog 도구를 다른 것으로 변경한 다음 이 새 도구를 새 파일에 기록하도록 syslog를 구성하면 됩니다. 예:

sshd_config에서 다음 줄을 추가합니다.

SyslogFacility AUTHPRIV

그런 다음 syslog.conf에서:

authpriv.* /var/log/secure