Если это - BSOD, Ваш первый шаг должен получить дамп из каталога C:\Windows\Minidump (обычно путем начальной загрузки к Безопасному режиму/Командной строке, WinPE, или сессия Восстановления) и выполняя это через читателя дампа (dumpchk и Windows Debugging Tools хорошее начало, и лишенный MS здесь).
Другая опция состоит в том, чтобы просто перейти к Вашему последнему рабочему резервному копированию. Но это, конечно, зависит от того, что находится на сервере и насколько хороший Ваши резервные копии.
При повышении LogLevel до ПОДРОБНОГО в/etc/sshd/sshd_config, он зарегистрируется, цифровой отпечаток открытого ключа раньше аутентифицировал пользователя.
LogLevel VERBOSE
затем Вы получаете сообщения как это
Jul 19 11:23:13 centos sshd[13431]: Connection from 192.168.1.104 port 63529
Jul 19 11:23:13 centos sshd[13431]: Found matching RSA key: 54:a2:0a:cf:85:ef:89:96:3c:a8:93:c7:a1:30:c2:8b
Jul 19 11:23:13 centos sshd[13432]: Postponed publickey for user from 192.168.1.104 port 63529 ssh2
Jul 19 11:23:13 centos sshd[13431]: Found matching RSA key: 54:a2:0a:cf:85:ef:89:96:3c:a8:93:c7:a1:30:c2:8b
Jul 19 11:23:13 centos sshd[13431]: Accepted publickey for user from 192.168.1.104 port 63529 ssh2
Можно использовать
ssh-keygen -lf /path/to/public_key_file
получить цифровой отпечаток конкретного открытого ключа.
Попытайтесь играть вокруг с LogLevel
параметр в sshd_config
. Для получения дополнительной информации обратитесь к man sshd_config
Если ваши люди используют ssh-agent, вы можете поместить это в свой .bashrc:
SSH_KEY_NAME=$(ssh-add -L | cut -d' ' -f 3 || 'unknown')
if [[ ! $SSH_KEY_NAME ]]; then SSH_KEY_NAME="no agent"; fi
echo `/bin/date` $SSH_KEY_NAME >> ~/.login.log
Хорошая запись в блоге отвечает на ваш вопрос: http://www.screenage.de/blog/2012/02/10/how-to-log-history-and-logins -from-multiple-ssh-keys-under-one-user-account-with-puppet /