Comment puis-je changer l'location du file de journalisation sshd
sur CentOS? sshd
connecte à /var/log/messages
au lieu de /var/log/secure
. Comment puis-je modifier le paramètre afin que sshd
cesse d'envoyer des journaux à /var/log/messages
?
S'il vous plaît postr votre sshd_config
quelque chose d'autre semblerait être en place. Un système CentOS stock se connecte toujours à /var/log/secure
.
$ sudo tail -f /var/log/secure Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2 Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root) Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2 Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2 Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0) Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root Feb 18 23:27:15 greeneggs sudo: saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure
Ceci est contrôlé par /etc/ssh/sshd_config
:
# Logging # obsoletes QuietMode and FascistLogging #SyslogFacility AUTH SyslogFacility AUTHPRIV #LogLevel INFO
En plus du contenu de /etc/rsyslog.conf
:
# Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has ressortingcted access. authpriv.* /var/log/secure
Dans l'un de vos commentaires, vous avez mentionné que votre file de configuration /etc/rsyslog.config
s'appelait /etc/rsyslog.config
. Ce n'est pas le nom correct pour ce file, et c'est probablement la raison pour laquelle votre journalisation est foiré. Changez le nom de ce file en /etc/rsyslog.conf
, puis redémarrez le service de journalisation.
$ sudo service rsyslog restart
La fonction par défaut sshd
syslog est AUTH
, donc elle sera enregistrée dans syslog dans /var/log/messages
.
Pour créer un journal sshd
dans un nouveau file, vous pouvez le changer en syslog, puis configurer syslog pour save cette nouvelle installation dans un nouveau file, par exemple:
Dans sshd_config, ajoutez cette ligne:
SyslogFacility AUTHPRIV
Ensuite, dans syslog.conf:
authpriv.* /var/log/secure