Où sont mes journaux sshd?

58

Je ne trouve pas mes journaux sshd dans les emplacements standard.

Ce que j'ai essayé

  • Pas dedans /var/log/auth.log
  • Pas dedans /var/log/secure
  • Est-ce qu'un système 'auth.log'n'a rien cherché et n'a rien trouvé
  • J'ai défini /etc/ssh/sshd_configd'utiliser SyslogFacility AUTHet de LogLevel INFOredémarrer sshd explicitement, mais je ne les trouve toujours pas.

J'utilise OpenSSH 6.5p1-2 sur Arch Linux.

HXCaine
la source

Réponses:

51

Essayez cette commande pour afficher le journal de systemctl:

journalctl -u sshd |tail -100
lisse
la source
20
Cela ne semble pas fonctionner, mais journalctl _COMM=sshdça marche .
wingedsubmariner
3
Ah, oui - le système est complètement cohérent et prévisible comme d’habitude.
g33kz0r
3
Vous pouvez utiliser l' -foption pour suivre le journal:journalctl -fu sshd
bzeaman
wingedsubmariner - Je sais que cela fait presque 4 ans, mais ... vous souvenez-vous de quelle distribution vous étiez à l'époque? Je soupçonne que le fichier d'unité sur votre distribution s'appelait "openssh" ou simplement "ssh" plutôt que "sshd". Le problème avec le projet systemd est qu’ils considèrent les distributions comme leurs utilisateurs, et les distributions sont libres d’utiliser le nom de leur choix pour les fichiers de l’unité (comme Debian appelle le serveur Web d’apache apache2et RedHat l’appelle httpd).
bobpaul
26

Une meilleure façon de voir la dernière partie du journal est la suivante:

journalctl -u sshd -n 100

L'utilisation tailsur la sortie de journalctlpeut être très lente. Cela a pris 5 minutes sur une machine où je l'ai essayée, tandis que la commande ci-dessus est renvoyée instantanément.

eMBee
la source
3
Et vous ne perdez pas la coloration des lignes! Devrait être la meilleure solution imo
kuzyn
7

Vous devriez pouvoir filtrer les messages en sshdutilisant:

journalctl -u ssh

ou (selon votre distribution)

journalctl -u sshd

qui affichera les journaux dans un lessformat de style (vous pouvez rechercher /, naviguer via PgUp, PgDown, etc.).

  • -e vous amène à la fin des journaux.
  • -ules filtres de paramètres à travers le champ méta _SYSTEMD_UNITqui est (du moins sur Debian) sur ssh.service, sshdne correspondront donc pas.
  • -f suit les journaux en temps réel
  • -n 100affiche le nombre de lignes donné (utile avec -f)

Sinon, vous pouvez utiliser le filtrage des méta-champs:

journalctl _COMM=sshd

Vous pouvez afficher un enregistrement de journal complet avec tous les méta-champs en exportant au format JSON:

journalctl -u ssh -o json-pretty

cela vous donnerait quelque chose comme:

    ...
    "_PID" : "7373",
    "_COMM" : "sshd",
    "_EXE" : "/usr/sbin/sshd",
    "_SYSTEMD_CGROUP" : "/system.slice/ssh.service",
    "_SYSTEMD_UNIT" : "ssh.service",
    ...

Si vous vous demandez comment afficher uniquement les messages du noyau:

journalctl -k -f
Tombart
la source
Avez-vous une explication pour cette syntaxe étrange ( journalctl _COMM=sshd)?
Ortomala Lokni
@OrtomalaLokni -ufiltre à travers le champ de métadonnées _SYSTEMD_UNITdéfini pour Debian ssh.service. Tous les paramètres commençant par un trait de soulignement accèdent aux métafiels. De manière similaire, vous pouvez filtrer via _PIDou _TRANSPORT.
Tombart
1

Jetez un coup d'œil à la configuration de votre syslog. La plupart des probalby /etc/syslog.confou /etc/rsyslog.conf vous devriez chercher des lignes avec authpar exemple dans ma config:

auth,authpriv.* /var/log/auth.log

*.*;auth,authpriv.none -/var/log/syslog

b13n1u
la source
4
Aucun de ces fichiers n'existe. Je crois que ces fichiers sont créés par syslog-ng alors qu'Arch a remplacé cela par systemd
HXCaine
Dans Scientific Linux, authpriv. * Pointe vers l' authpriv.* /var/log/secureintérieur du fichier /etc/rsyslog.conf
Salem F