Red Hat Linux上的sshd日志文件存储在哪里?

有人可以告诉我在哪里可以find在RedHat和SELinux SSHD日志….我想查看日志,看看谁login到我的帐户..

loginlogging通常在/ var / log / secure中。 我不认为有一个特定于SSH守护进程的日志,除非你把它从其他系统日志消息中分离出来。

除了@john的答案,一些发行版默认使用journalctl。 如果这是你的情况,你可能能够通过以下方式看到sshd活动:

 _> journalctl _COMM=sshd 

你会看到这样的输出:

 Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2 Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth] Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2 Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0) Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating. Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22. 

日志实际上位于RHEL系统上的/ var / log / secure。 一个SSHD连接看起来像这样;

 Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from xxxx port 61000 ssh2 Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0) 

确定您的帐户是否遭到入侵的最重要的部分是IP地址。

如果您使用RHEL / CentOS 7,则系统将使用systemd,因此使用journalctl。 如上所述,您可以使用journalctl _COMM=sshd 。 但是,您应该也可以使用以下命令查看它:

 # journalctl -u sshd 

您也可以通过以下命令来validation您的Redhat版本:

 # cat /etc/*release 

这将显示您的版本信息关于您的版本的Linux。