Red Hat Linux上的sshd日志文件存储在哪里？

有人可以告诉我在RedHat和SELinux上哪里可以找到SSHD日志。...我想查看日志以查看谁正在登录我的帐户。

登录记录通常在/ var / log / secure中。我认为没有特定于SSH守护进程的日志，除非您已将其从其他syslog消息中分解出来。

除了@john答案以外，默认情况下，某些发行版现在也使用journalctl。如果是这种情况，您可能可以sshd通过以下方式查看活动：

_> journalctl _COMM=sshd

您将看到如下输出：

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

该日志实际上位于RHEL系统上的/ var / log / secure中。SSHD连接将如下所示：

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

确定您的帐户是否受到威胁的最重要部分是IP地址。

如果您使用的是RHEL / CentOS 7，则系统将使用systemd，并因此使用journalctl。如上所述，您可以使用journalctl _COMM=sshd。但是，您还应该可以使用以下命令查看此内容：

# journalctl -u sshd

您也可以通过以下命令来验证您的redhat版本：

# cat /etc/*release

这将向您显示有关您的linux版本的版本信息。

检查/var/log/secure 安全日志是否轮换，因此您可能还需要搜索以前的文件。例如/var/log/secure-20190903

您可能也有兴趣在日志文件中搜索特定的行（我只是在键盘上撞了一下，以生成那些示例IP地址，所以请不要对它们赋予太多含义）

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*