В экземпляре GCP Compute Engine используется ОС Ubuntu 18.04, установлен агент ведения журнала Stackdriver.
Любая идея, почему Stackdriver не принимает auth.log
по умолчанию? Как лучше всего это сделать?
Закончилось простым добавлением дополнительной записи в /etc/google-fluentd/config.d/syslog.conf
<source>
@type tail
# Parse the timestamp, but still collect the entire line as 'message'
format /^(?<message>(?<time>[^ ]*\s*[^ ]* [^ ]*) .*)$/
path /var/log/auth.log
pos_file /var/lib/google-fluentd/pos/auth.log.pos
read_from_head true
tag auth
</source>
Ответ на ваш первый вопрос заключается в том, что образы виртуальных машин для Compute Engine по умолчанию не включают агент ведения журнала. Чтобы ответить на второй вопрос, вам необходимо установить агент Stackdriver Logging на вашу виртуальную машину. Пожалуйста, следуйте информации и инструкциям Вот. Я мог бы воспроизвести это, чтобы убедиться, что это работает. После установки агента вы сможете видеть SSH-соединения в Stackdriver Logging, например, их заголовок выглядит так: «..сессия открыта для пользователя USER». Он также регистрирует, когда сеанс SSH закрыт; его заголовок выглядит так: «... сеанс закрыт для пользователя USER».