У меня есть сервер ubuntu 14.04, на котором запущена служба, и в настоящее время я настраиваю визуализацию журналов, но я заметил, что мой /var/log/auth.log пуст.
Я предполагал, что этого не будет много, так как я отключил ssh-соединения, кроме использования ssh-ключа. Но я ожидал, что будут журналы sshd. Есть ли еще где-нибудь, где я мог бы видеть логины с использованием ключей ssh, или происходит что-то еще, о чем я не знаю?
Моя конечная цель - вести журнал каждый раз, когда кто-то пытается войти в систему с помощью ключа или без него.
РЕДАКТИРОВАТЬ1
Я вижу, что есть резервные копии auth.log, но они не записывают попытки ssh или успешные входы ssh с использованием ключей. Они показывают только вакансии CRON.
Я также повысил уровень ведения журнала sshd_config до VERBOSE вместо INFO.
В системах Ubuntu rsyslog обрабатывает ведение системного журнала, перенаправляя вывод нескольких демонов (например, sshd) в соответствующие журналы в соответствии с его конфигурацией.
Есть несколько файлов конфигурации, которые могут повлиять на использование файла журнала. Я бы начал с отладки rsyslog, сначала проверив его config в /etc/rsyslog.d (более вероятно, 50-default.conf) и ищем строку, должен выглядят примерно так:
auth,authpriv.* /var/log/auth.log
Если он не настроен на /var/log/auth.log, значит, вы только что нашли проблему, вывод будет в другом месте. Если не...
Затем проверьте, что rsyslog на самом деле работает с участием systemctl status rsyslog, если это не так, возможно, что-то отключило его или он даже не присутствует в качестве службы, вы можете повторно включить (если он есть) демон с помощью systemctl enable rsyslog.
Кроме того, ваш конфигурация sshd может быть либо полное отключение ведения журнала, либо перезапись конфигурации rsyslog, проверьте наличие SyslogFacility внутри твоего sshd.conf, который может перенаправлять сообщения на другое средство rsyslog, по умолчанию это должно быть AUTH (как строка в конфигурации первого шага). Конечно, LogLevel тоже важно, но ты понял VERBOSE, так что это не должно быть проблемой.
Для отладки sshd вы можете попробовать перевести его в режим отладки с помощью -d, как указано на человек:
Режим отладки. Сервер отправляет подробный отладочный вывод в стандартную ошибку и не переводится в фоновый режим. Сервер также не будет разветвляться и будет обрабатывать только одно соединение. Эта опция предназначена только для отладки на сервере. Несколько параметров -d увеличивают уровень отладки. Максимум 3.
Быть осторожный при настройке sshd, если вы используете sshd-соединение, поскольку вы, конечно, можете заблокировать удаленный компьютер.
Другой причиной может быть неправильное владение файлом.
Проверьте право собственности на файл - /var/log/auth.log
Если он не принадлежит syslog: adm, измените его на syslog: adm
системный журнал sudo chown: adm /var/log/auth.log
Это устранило проблему в Ubuntu.
Если у вас нет rsyslog, возможно, ваш ubuntu "свернут", и вы обычно видите это сообщение при входе в систему:
Эта система была минимизирована за счет удаления пакетов и содержимого, которые не требуются в системе, в которую пользователи не входят.
Чтобы восстановить это содержимое, вы можете запустить команду unminimize.
Так что просто беги unminimize и подтвердите.