SSH无法正确记录

出租车

我在/var/log/auth.logDebian Web服务器上看,它记录的最后一件事是:

Jul  2 21:09:01 h311 /USR/SBIN/CRON[25912]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
Jul  2 21:12:37 h311 systemd[1]: Reloading.

/var/log/syslog的大小为0个字节。较旧的日志位于其存档中。

我尝试删除它,然后重新启动服务。再次创建,大小为0字节。

我试图在此服务器上安装syslog-ng之类的东西,并在玩了一段时间后将其删除。我安装的某些软件包可能已篡改了配置,但我无法确切告诉您。

此服务器上还有一个超级用户,因此可能还有其他超级用户。

我应该检查并尝试做些什么才能使日志再次起作用?

震荡器

如注释中所示,您的系统正在使用systemd进行服务管理。Systemd替代了传统的SysVinit。它还捆绑了许多其他内容,例如syslog收集器。在这种情况下,要访问您的日志,您需要使用journalctl命令。

$ journalctl

如果只想查看sshd日志,则可以通过过滤器:

$ journalctl -n 1 _COMM=sshd
-- Logs begin at Wed 2014-10-22 19:29:29 EDT, end at Fri 2014-10-24 09:05:09 EDT. --
Oct 24 09:05:09 gadget sshd[5800]: pam_unix(sshd:session): session closed for user phemmer

您可以通过将输出格式更改为来查看可用的过滤器字段verbose

$ journalctl -n 1 -o verbose
Fri 2014-10-24 09:05:09.533633 EDT [s=30566909a26443ffb7185d318ccc4cd6;i=3d5d;b=19dd64e325fd4577a78af1a73f005b6c;m=1e82168a3c;t=5062ad4a511bc;x=1fae374af8a7dbc3]
    PRIORITY=6
    _UID=0
    _GID=0
    _BOOT_ID=19dd64e325fd4577a78af1a73f005b6c
    _MACHINE_ID=5288dcb47f9fed3ab946f54754305a4f
    _HOSTNAME=gadget
    _CAP_EFFECTIVE=1fffffffff
    _TRANSPORT=syslog
    SYSLOG_FACILITY=10
    SYSLOG_IDENTIFIER=sshd
    _COMM=sshd
    _EXE=/usr/sbin/sshd
    _SYSTEMD_OWNER_UID=1000
    _SYSTEMD_SLICE=user-1000.slice
    _PID=5800
    _CMDLINE=sshd: phemmer [priv]   
    _SYSTEMD_CGROUP=/user.slice/user-1000.slice/session-3.scope
    _SYSTEMD_SESSION=3
    _SYSTEMD_UNIT=session-3.scope
    MESSAGE=pam_unix(sshd:session): session closed for user phemmer
    _SOURCE_REALTIME_TIMESTAMP=1414155909533633

回答您有关禁用systemd的评论。我不会建议。您的发行版正朝着systemd方向发展,而淘汰该系统的核心组件可能会使您的生活极为困难。
可以禁用日志日志,并使用传统的syslog守护程序,而不会带来太多麻烦,但是我建议在决定不使用日志之前先学习使用日志。违背约定不应该轻举妄动。

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章