¿Cómo cambio la sshd
ubicación del archivo de registro en CentOS? sshd
inicia sesión en /var/log/messages
lugar de /var/log/secure
. ¿Cómo puedo cambiar la configuración para sshd
que deje de enviar registros /var/log/messages
?
Por favor, publique su sshd_config
otra cosa parece estar arriba. Un sistema CentOS estándar siempre se registra /var/log/secure
.
$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo: saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure
Esto se controla a través de /etc/ssh/sshd_config
:
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
Así como los contenidos de /etc/rsyslog.conf
:
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
En uno de sus comentarios mencionó que su rsyslogd
archivo de configuración fue nombrado /etc/rsyslog.config
. Ese no es el nombre correcto para este archivo, y es probable que sea la razón por la cual su registro está mal. Cambie el nombre de este archivo a /etc/rsyslog.conf
y luego reinicie el servicio de registro.
$ sudo service rsyslog restart
sshd
archivo ejecutable. Si desea anular los valores predeterminados, puede dar sshd
opciones de línea de comandos o editar su archivo de configuración.
ssh
fue compilado por lo que LogLevel
se estableció en INFO
forma predeterminada. Para anularlo, debe descomentar esa línea y luego cambiar su valor.
La función predeterminada de sshd
syslog es AUTH
, por lo que se registrará en syslog en /var/log/messages
.
Para hacer el sshd
registro en un nuevo archivo, puede cambiar su función syslog a otra, luego configurar syslog para registrar esta nueva instalación en un nuevo archivo, es decir:
En sshd_config, agregue esta línea:
SyslogFacility AUTHPRIV
Luego en syslog.conf:
authpriv.* /var/log/secure
SyslogFacility AUTHPRIV
ya es el valor predeterminado en las distribuciones de RH. Lo anulan como parte del embalaje.
/etc/rsyslog.config
a /etc/rsyslog.conf
.
/var/log/message
¿esa es realmente la ubicación? Es en general/var/log/messages
./var/log/messages
, tal vez OP tiene ambas ;-)/var/log/auth.log