Changer l'location du file de journalisation sshd sur CentOS?

Comment puis-je changer l'location du file de journalisation sshd sur CentOS? sshd connecte à /var/log/messages au lieu de /var/log/secure . Comment puis-je modifier le paramètre afin que sshd cesse d'envoyer des journaux à /var/log/messages ?

S'il vous plaît postr votre sshd_config quelque chose d'autre semblerait être en place. Un système CentOS stock se connecte toujours à /var/log/secure .

Exemple

 $ sudo tail -f /var/log/secure Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2 Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root) Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2 Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2 Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0) Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root Feb 18 23:27:15 greeneggs sudo: saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure 

Ceci est contrôlé par /etc/ssh/sshd_config :

 # Logging # obsoletes QuietMode and FascistLogging #SyslogFacility AUTH SyslogFacility AUTHPRIV #LogLevel INFO 

En plus du contenu de /etc/rsyslog.conf :

 # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has ressortingcted access. authpriv.* /var/log/secure 

Votre problème

Dans l'un de vos commentaires, vous avez mentionné que votre file de configuration /etc/rsyslog.config s'appelait /etc/rsyslog.config . Ce n'est pas le nom correct pour ce file, et c'est probablement la raison pour laquelle votre journalisation est foiré. Changez le nom de ce file en /etc/rsyslog.conf , puis redémarrez le service de journalisation.

 $ sudo service rsyslog restart 

La fonction par défaut sshd syslog est AUTH , donc elle sera enregistrée dans syslog dans /var/log/messages .

Pour créer un journal sshd dans un nouveau file, vous pouvez le changer en syslog, puis configurer syslog pour save cette nouvelle installation dans un nouveau file, par exemple:

Dans sshd_config, ajoutez cette ligne:

 SyslogFacility AUTHPRIV 

Ensuite, dans syslog.conf:

 authpriv.* /var/log/secure