Vraag Hoe kan ik sshd log controleren?


Ik heb Ubuntu 9.10 geïnstalleerd met sshd en ik kan er met succes verbinding mee maken met behulp van login en wachtwoord. Ik heb een geconfigureerd RSA key-login en hebben nu "Server weigerde onze sleutel" zoals verwacht. Oké, nu wil ik het controleren sshd log in om een ​​probleem te achterhalen. Ik heb onderzocht /etc/ssh/sshd_config en het heeft

SyslogFacility AUTH
LogLevel INFO

OK. ik kijk naar /var/log/auth.log en ... het is leeg O_O. Veranderen Loglevel naar VERBOSE helpt niets - auth.log is nog steeds leeg. Alle hints hoe ik het kan controleren sshd log?


103
2018-04-08 10:22


oorsprong


Heb je je syslog-configuratie gecontroleerd? Ik voer Ubuntu niet uit, maar het kan de AUTH-faciliteit omleiden naar een ander logbestand. Misschien / var / log / messages? - Prof. Moriarty
Hoe een syslog-configuratie controleren? Helaas ben ik niet erg goed een linux :(. cat /var/log/messages | grep ssh toont niets :(. - grigoryvp
Je hebt gelijk. /etc/syslog.conf stuurt AUTH door naar /var/logauth.log. Schrijf alstublieft uw antwoord zodat ik het kan accepteren :) - grigoryvp
Op mijn servers logt sshd in op / var / log / secure. Dit is geconfigureerd in /etc/rsyslog.conf, op de regel beginnend met "authpriv. *" - Isaac Betesh
authpriv ?? Hoe konden we in hemelsnaam weten dat iets met sshd te maken had? :-) - Spencer Williams


antwoorden:


Als niemand anders het systeem op dit moment gebruikt, zou je kunnen doen wat ik in dergelijke gevallen heb gedaan:

  • stop sshd service (ik heb dit tenminste kunnen doen terwijl ik ingelogd was via ssh)
  • start sshd handmatig en voeg wat -d-opties toe om meer uitgebreide foutopsporingsuitvoer te krijgen. Tenzij u iets funkys aan de hand hebt, zou u dezelfde toetsen moeten gebruiken en configureren als het correct is gestart

8
2018-04-08 11:37



SSHD stoppen op een externe server is een heel slecht idee. Dit kan het probleem voor sommige (of de meeste) opstellingen het grootste deel van de tijd oplossen, maar als er iets fout gaat - je verbinding, macht aan een van beide uiteinden, vergeetachtigheid, enz. - ben je uit de doos buitengesloten. Dat is slecht nieuws. - Sudowned
Wel moet worden opgemerkt dat de enige manier waarop u de service kunt starten nadat u de service handmatig hebt gestopt, is door er een andere toegang toe te hebben, zoals een andere niet-SSH externe verbinding, of u zit er voor. - Spencer Williams
Hoe beantwoordt dit de vraag? Ik ben hier beland via een internetzoekopdracht die verwachtte om te leren hoe ik de SSHD-logbestanden kon controleren, niet wat voor jou werkte voor een probleem ... Verdorie, ik wou dat lezers op het Stack Exchange-netwerk de vraag daadwerkelijk zouden lezen en beantwoorden, en niet de vraag die ze willen dat het is .... - jww
U kunt een andere sshd op een andere poort starten. Maak verbinding met die. Stop vervolgens de main sshd en start een nieuwe op poort 22. Als er iets niet lukt, start dan de box opnieuw op met behulp van uw DRAC of cloudbeheer. Je zou sshd moeten hebben beginnend bij het opstarten, toch? Maak je geen zorgen. - Bruno Bronosky
@JoelESalas De community beslist niet welke antwoorden worden geaccepteerd. - kasperd


Een antwoord creëren op basis van bovenstaande opmerkingen, dank aan @Prof. Moriarty en @Eye of Hell

SSH auth-fouten worden hier vastgelegd /var/log/auth.log

Het volgende zou u alleen ssh-gerelateerde logregels moeten geven

grep 'sshd' /var/log/auth.log

Voor de zekerheid, haal de laatste paar honderd regels en zoek dan (want als het logbestand te groot is, zou grep over het hele bestand meer systeembronnen verbruiken, en niet te vergeten zal het langer duren om te draaien)

tail -500 /var/log/auth.log | grep 'sshd'


118
2018-02-19 19:56



Dit antwoord. Een ander antwoord met een groene pijl is nep. Wijzig de pijl. - nottinhill
Waarom niet gebruiken tail -f ... om het in realtime te monitoren? Zou dit een probleem zijn met grotere logbestanden? - ingh.am
less +F ... 'staart' in realtime, en het is veel krachtiger dan de staart - northben
En lnav is zelfs beter dan minder / staarten - Wayne Werner
P.s .: als uw server een Red Hat (als CentOS) is, is het logboek van sshd / login records / var / log / secure (vink / var / log-map ook aan voor de logbestanden van specifieke datums). Zie dit antwoord: serverfault.com/questions/465833/... - Brian Hellekin


Als u de mislukte verbinding gemakkelijk opnieuw kunt proberen, kunt u de volgende eenvoudige manier uitvoeren:

/usr/sbin/sshd -d -p 2222

en probeer vervolgens de verbinding opnieuw met:

ssh -p 2222 user@host

Gebruik makend van -p 2222 zodat we de hoofdserver van de SSH niet hoeven te stoppen, waardoor je zou kunnen worden buitengesloten.

Zie ook: https://unix.stackexchange.com/a/55481/32558


3
2017-08-13 07:13





Als je alle logberichten over sshd wilt zien, voer je dit uit:

grep -rsh sshd /var/log |sort

-1
2018-06-28 14:24



Logboeken beginnen met items zoals Mar 14 19:52:04 die het jaar uitsluiten en niet gemakkelijk gesorteerd worden (hoewel je geluk kunt hebben met sort --month-sort ervan uitgaande dat je niet over een grens tussen jaren heen gaat). De logbestanden zelf zijn al gesorteerd, dus je hoeft ze alleen maar in de juiste volgorde te scannen. Ook het recursieve grep -r oproep zal erg traag zijn op systemen met grote logs. Er is geen reden om extra dingen zoals uw HTTPD-logs te scannen. - Adam Katz


Jij kan tail -f /var/log/auth.log


-1
2017-11-10 00:44



Welkom bij ServerFault. Heb je de vraag gelezen? Hij krijgt geen gegevens in dat bestand. tailHet is nutteloos als er geen gegevens in staan. - chicks
@chicks Dat is grappig. Antwoord met de meeste stemmen is bijna hetzelfde als dit .. - Qback