為什麼我的 auth.log 文件是空的?
我有一個執行服務的 ubuntu 14.04 伺服器,我目前正在設置一些日誌記錄視覺化,但我注意到我的 /var/log/auth.log 是空的。
我認為它不會有太多,因為除了使用 ssh 密鑰之外,我已經禁用了 ssh 連接。但是,我確實希望會有 sshd 日誌。在其他地方我會看到使用 ssh 密鑰的登錄,還是發生了其他我不知道的事情?
我的最終目標是記錄每次有人嘗試使用密鑰或不使用密鑰登錄時的日誌。
編輯1
我看到有 auth.log 備份,但它們沒有記錄 ssh 嘗試,或使用密鑰成功的 ssh 登錄。他們只顯示 CRON 工作。
我還將 sshd_config 日誌記錄級別提升為 VERBOSE 而不是 INFO。
在 Ubuntu 系統中, rsyslog處理系統日誌記錄,根據其配置將來自多個守護程序(例如 sshd)的輸出重定向到它們各自的日誌。
有幾個配置文件可能會影響日誌文件的使用。我將從調試 rsyslog 開始,首先在**/etc/rsyslog.d中檢查其**配置(更可能是 50-default.conf),然後查找應該如下所示的行:
auth,authpriv.* /var/log/auth.log
如果它沒有設置為**/var/log/auth.log**,那麼你剛剛發現了問題,輸出到了其他地方。如果不…
接下來,檢查rsyslog 是否確實在執行,
systemctl status rsyslog
如果不是,則可能是某些東西禁用了它,或者它甚至沒有作為服務存在,您可以使用 重新啟用(如果存在)守護程序systemctl enable rsyslog
。此外,您的sshd 配置可能是完全禁用日誌記錄或覆蓋 rsyslog 的配置,請檢查您的sshd.conf
SyslogFacility
內部,這可能會將消息重定向到**另一個 rsyslog 設施,**預設情況下應該是(作為第一步配置中的行) . 當然,也很重要,但你把它弄進去了,所以這不應該是問題。AUTH``LogLevel``VERBOSE
對於調試 sshd,您可以嘗試使用 將其置於調試模式
-d
,如man所述:調試模式。伺服器將詳細的調試輸出發送到標準錯誤,並且不會將自己置於後台。伺服器也不會分叉,只會處理一個連接。此選項僅用於調試伺服器。多個 -d 選項可提高調試級別。最大值為 3。
如果您在 sshd 連接上調整 sshd 時要小心,當然,最終會鎖定遠端電腦。