怎样在CentOS上查看SSH登录日志

我上周试过这个。

在 CentOS 上检查 SSH 日志只有两种方法。

第一种方法是使用Journalctl。

这适用于 CentOS7 及更高版本使用 systemd 的情况。

只要输入命令:journalctl -u sshd.service
就可以看到ssh的详细日志。

它拥有一切,启动、停止、连接与否、配置错误与否。

时间戳也非常准确,精确到微秒。

如果您想查看特定的启动,请添加 -b。

例如查看最后启动的文件:Journalctl -u sshd.service -b-1
或者继续查看新的文件:Journalctl -u sshd.service -f
第二种方式是查看文件。

直接打开/var/log/secure。

使用cat可以显示所有内容,但文件大时会很慢。

少用阅读,可以一页一页地翻,还可以查词。

例如,搜索无法查看谁离线。

或者搜索“已接受”来找出来电者。

使用grep比较方便。

例如:grep '密码失败' /var/log/secure
仅查看那些未连接的。

或者:grep '接受的密码' /var/log/secure
只需查看连接的单词。

如果 /var/log/secure 消失,则路径可能已更改。

转到 /etc/rsyslog.conf 并查看。

或者查看 /etc/rsyslog.d/ 目录。

有时它可能位于/var/log/auth.log 中。

或/var/log/messages。

总之,先搜索一下。

推荐Journalctl,适合实时查看。

如果系统较旧,请使用/var/log/security。

为了安全起见,请阅读有关密码失败的更多信息。

日志太大,使用logrotate进行轮转。

它似乎是默认配置的。

就这样吧。

centos日志文件保存路径

哦,是的...CentOS...日志...通常位于 /var/log 中。

我记得...在2 02 2 年...我遇到了一台服务器...是CentOS...出现了问题...CPU爆炸了...我去检查日志...它位于/var/log/messages...我发现进程变得疯狂...并且...我解决了它。

这个目录...很重要...想一想...系统启动.../var/log/boot.log有日志...之前没看懂...启动了多长时间...还有服务启动...后来才意识到...这个信息...对于故障排除很有用。

另一个例子...安全相关.../var/log/secure...印象特别深刻...2 02 2 年...一个客户半夜打电话...说用户的密码被暴力破解...我赶紧检查...果然...在/var/log/secure...有...一堆失败的登录记录...然后...密码复杂度增加了。

还有... yum... 就是安装软件的... /var/log/yum.log... 有时候... 升级系统... 出问题了... 看看这个日志... 比如2 02 2 年... /var/log/yum.log 里某个包的依赖冲突... 找了半天... 终于找到了... 得先卸载一个旧版本...
SELinux... 这个比较烦人... 里面有很多文件/var/log/selinux/...我一般...当我不熟悉...SELinux...我会先停止这个服务...然后...看日志...小心...可能...无法再次进入系统...后来才知道...
iptables...防火墙...日志...一般都在/var/log/messages里面...但有时...特别复杂的规则...出现问题时...你可能必须使用参数-v -n...来打印出数据包...例如比如...2 02 2 年...有一个客户的网站...打不开...客户说是因为防火墙...我去检查...发现...iptables规则很死...所有的HTTP请求都被拦截...当时...客户也很困惑...
总之...这个/var/log...是系统的心脏跳动的地方...如果有问题...你得先看这里...虽然有时候...日志里的信息很复杂...你有要有耐心...慢慢找...我当时也很迷茫...可能是我有偏见...我以为...日志看不懂...是废话...后来...我意识到...这个东西...很重要...尤其...发生了大事之后...比如...系统崩溃...或者...数据丢失...这个时候...日志就是...唯一的证据...