Вопросы Теги

Почему в Stackdriver не ведется журнал sshd?

В экземпляре GCP Compute Engine ОС - Ubuntu 18.04, установлен агент ведения журнала Stackdriver.

Есть идеи, почему Stackdriver не принимает auth.log ] по умолчанию? Как лучше всего это сделать?

0
задан 26 February 2019 в 17:06
2 ответа

Закончилось простым добавлением дополнительной записи в /etc/google-fluentd/config.d/syslog.conf 

<source>
  @type tail

  # Parse the timestamp, but still collect the entire line as 'message'
  format /^(?<message>(?<time>[^ ]*\s*[^ ]* [^ ]*) .*)$/

  path /var/log/auth.log
  pos_file /var/lib/google-fluentd/pos/auth.log.pos
  read_from_head true
  tag auth
</source>
1
ответ дан 4 December 2019 в 15:45

Ответ на ваш первый вопрос: Образы виртуальных машин для Compute Engine по умолчанию не включают агент ведения журнала. Чтобы ответить на второй вопрос, вам необходимо установить агент Stackdriver Logging на вашу виртуальную машину. Пожалуйста, следуйте информации и инструкциям здесь . Я мог бы воспроизвести это, чтобы убедиться, что это работает. После установки агента вы сможете видеть SSH-соединения в Stackdriver Logging, например, их заголовок выглядит так: «..сессия открыта для пользователя USER». Он также регистрирует, когда сеанс SSH закрыт; его заголовок выглядит так: «... сеанс закрыт для пользователя USER».

0
ответ дан 4 December 2019 в 15:45

Теги

Похожие вопросы