Почему мой файл auth.log пуст?
У меня есть сервер ubuntu 14.04, на котором запущена служба, и в настоящее время я настраиваю визуализацию журналирования, но я заметил свой / var / log / auth. log пуст.
Я полагал, что ничего особенного не будет, так как я отключил ssh-соединения, кроме использования ssh-ключа. Но я ожидал, что будут журналы sshd. Есть ли еще где-нибудь, где я мог бы видеть логины с использованием ключей ssh, или что-то еще происходит? м не знаю?
Моя конечная цель - вести журнал каждый раз, когда кто-то пытается войти в систему с использованием ключа или без ключа.
EDIT1
Я вижу, что есть резервные копии auth.log, но они не записывают попытки ssh или успешные входы ssh с использованием ключей. Они показывают только задания CRON.
Я также повысил уровень ведения журнала sshd_config до VERBOSE вместо INFO.
В системах Ubuntu rsyslog обрабатывает системный журнал, перенаправляя вывод нескольких демонов (например, sshd) в соответствующие журналы в соответствии с его конфигурацией.
Есть несколько конфигураций файлы, которые могут повлиять на использование файла журнала. Я бы начал с отладки rsyslog, сначала проверив его config в /etc/rsyslog.d (более вероятно, 50-default.conf) и ища строку, которая должна выглядит примерно так:
auth,authpriv.* /var/log/auth.log
Если он не настроен на /var/log/auth.log , значит, вы только что обнаружили проблему, вывод уходит в другое место. Если нет ...
Затем проверьте, что rsyslog действительно работает с systemctl status rsyslog , если это не так,возможно, что-то отключило его или он даже не присутствует как служба, вы можете повторно включить (если он есть) демон с помощью systemctl enable rsyslog .
Кроме того, ваш sshd config ] можно было либо полностью отключить ведение журнала, либо перезаписать конфигурацию rsyslog, проверьте наличие SyslogFacility внутри вашего sshd.conf , который может перенаправлять сообщения на другое средство rsyslog, по умолчанию это должно быть AUTH (как строка в конфигурации первого шага). Конечно, LogLevel также важен, но вы получили его в VERBOSE , так что это не должно быть проблемой.
Для отладки sshd вы можете попробовать поставить его на отладку. режим с -d , как указано на man :
Режим отладки. Сервер отправляет подробный отладочный вывод в стандартную ошибку и не переводится в фоновый режим. Сервер также не будет разветвляться и будет обрабатывать только одно соединение. Эта опция предназначена только для отладки на сервере. Несколько параметров -d увеличивают уровень отладки. Максимум 3.
Будьте осторожны при настройке sshd, если вы используете sshd-соединение, поскольку вы, конечно, можете заблокировать удаленную машину.
Другой причиной может быть неправильное владение файлом.
Проверьте право собственности на файл - /var/log/auth.log
Если он не принадлежит syslog: adm, затем измените его на syslog: adm
sudo chown syslog: adm /var/log/auth.log
Это устранило проблему для меня в Ubuntu.
Если у вас нет rsyslog, это может быть связано с тем, что ваша Ubuntu «свернута», и вы обычно видите это сообщение при входе в систему:
Эта система была свернута путем удаления пакетов и контента, которые не требуется в системе, в которую пользователи не входят.
Чтобы восстановить этот контент, вы можете запустить команду «развернуть».
Так что просто запустите unminimize и подтвердите.