linux ssh 日志记录

Linux SSH（Secure Shell）日志记录是系统管理员监控和审计SSH连接的重要手段。以下是关于Linux SSH日志记录的基础概念、优势、类型、应用场景以及常见问题及其解决方法。

基础概念

SSH日志记录了所有通过SSH协议进行的连接尝试和会话活动。这些日志通常存储在 /var/log/auth.log（对于基于Debian的系统）或 /var/log/secure（对于基于Red Hat的系统）。

优势

安全性：通过日志记录，可以检测到未经授权的访问尝试。
审计：有助于追踪用户行为和系统活动。
故障排除：帮助诊断连接问题或配置错误。

类型

认证日志：记录用户登录尝试的成功或失败。
会话日志：记录SSH会话期间的活动。
服务启动/停止日志：记录SSH服务的启动和停止事件。

应用场景

监控系统访问：实时查看谁在何时登录了系统。
安全审计：定期检查异常登录活动。
合规性检查：满足某些行业规定的日志保留和审查要求。

常见问题及解决方法

问题1：找不到SSH日志文件

原因：日志文件路径可能因Linux发行版不同而有所差异。 解决方法：

# 对于基于Debian的系统
sudo tail -f /var/log/auth.log

# 对于基于Red Hat的系统
sudo tail -f /var/log/secure

问题2：日志文件过大

原因：长时间运行可能导致日志文件占用大量磁盘空间。 解决方法：

# 使用logrotate工具进行日志轮转
sudo nano /etc/logrotate.d/sshd

在文件中添加如下内容：

/var/log/auth.log {
    daily
    missingok
    rotate 7
    compress
    delaycompress
    notifempty
    create 640 root adm
}

问题3：无法记录特定用户的登录尝试

原因：可能是SSH配置文件中的设置限制了日志记录。 解决方法：编辑 /etc/ssh/sshd_config 文件，确保以下设置：

LogLevel VERBOSE

然后重启SSH服务：

sudo systemctl restart sshd

问题4：日志中出现大量失败登录尝试

原因：可能是遭受了暴力破解攻击。 解决方法：

使用防火墙限制IP访问频率。
启用SSH公钥认证，减少密码登录的使用。

示例代码

以下是一个简单的脚本，用于实时监控SSH登录尝试：

#!/bin/bash
LOGFILE="/var/log/auth.log"

tail -f $LOGFILE | grep --line-buffered "sshd.*Accepted\|Failed password"

保存并运行此脚本，可以实时查看SSH登录的成功和失败记录。

通过以上信息，你应该能够全面了解Linux SSH日志记录的相关知识，并有效应对常见问题。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

linux日志审计系统_linux查看审计记录命令

Linux日志审计常用命令 find、grep 、egrep、awk、sed Linux 中常见日志以及位置位置名称 /var/log/cron 记录了系统定时任务相关的日志 /var/log/auth.log...记录验证和授权方面的信息 /var/log/secure 同上，只是系统不同 /var/log/btmp 登录失败记录使用lastb命令查看 /var/log/wtmp 登录失成功记录使用last...log/lastlog 最后一次登录使用lastlog命令查看 /var/run/utmp 使用 w、who、users 命令查看 /var/log/auth.log、/var/log/secure记录验证和授权方面的信息...，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中常用审计命令 //定位多少IP在爆破root账号 grep "Failed...有哪些 grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more //登录成功的日志

13.1K6 0

ssh使用记录

https://blog.csdn.net/u012436149/article/details/79661302 指定端口登录 ssh -p port username@ip 将远程端口映射到本地...ssh -N -f -L localhost:8889:localhost:8888 username@ip 这时访问本地的 8889端口等同与访问远程的 8888 端口对应windows...putty的配置方法 ssh -N -f -L localhost:8889:ip2:8888 username@ip1 如果 ip2 只能由ip1 访问，可以这么执行端口映射对应windows

8411 0

日志记录

访问应用服务器的请求都需要拥有一定权限，如果说每访问一个服务都需要验证一次权限，这个对效率是很大的影响。可以把权限认证放到 API 网关来进行。目前比较常见的做...

1.2K5 0

记录日志

日志级别：debug<info<warn<error application.yml配置日志 logging: file: target/app.log level: ROOT: WARN

7722 0

记录一则Linux SSH的互信配置过程

需求：四台Linux主机,IP地址为192.168.10.10/11/12/13,配置登录用户的互信 1.各节点ssh-keygen生成RSA密钥和公钥 ssh-keygen -q -t rsa -...~/.ssh/authorized_keys ssh 192.168.10.11 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys ssh 192.168.10.12...cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys ssh 192.168.10.13 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys.../.ssh/authorized_keys 192.168.10.11:~/.ssh/ scp ~/.ssh/authorized_keys 192.168.10.12:~/.ssh/ scp ~/....ssh/authorized_keys 192.168.10.13:~/.ssh/ 4.验证互信，各节点执行下面命令，能不输入密码显示时间，配置成功 ssh 192.168.10.10 date;ssh

9122 0

Linux下rsyslog日志收集服务环境部署记录

目前大多数Linux发行版默认也是使用rsyslog进行日志记录。...现在需要将登录到这两台服务器上的用户的所有操作过程记录下来，记录达到rsyslog日志里，相当于做用户操作记录的审计工作。...有上面日志可以看出，在172.19.10.24这台机器上的操作记录都被详细记录下来了。这样，就能清楚地知道登录到这台机器上的用户都做了些什么了........../etc/rsyslog.d/stat-access ##记录日志点等信息。...（默认会在记录的日志前加几个字段） $template SpiceTmpl,"%msg%\n" ##%msg:2:$%为去掉日志开头的空格 #定义一个模板用来指定接收的日志文件的存放路径%……%之间的是定义日志按照年

1.9K2 0

MongoDB日志记录

Storage > Journaling 在本页面将从以下两点论述：日志记录和WiredTiger存储引擎日志记录和内存存储引擎为了在发生故障时提供持久性，MongoDB使用预写日志记录到磁盘journal...日志记录和WiredTiger存储引擎重要本节中提到的log是指WiredTiger预写日志（即日志），而不是MongoDB日志文件。...日志记录过程于3.2版本中变更使用日志功能，WiredTiger为每个客户端发起的写操作创建一个日记记录。日志记录包括由初始写入引起的任何内部写入操作。...日志记录日志文件包含每个客户端的初始写操作记录：日记记录包括由初始写入引起的任何内部写入操作。...注意如果日志记录小于或等于128字节（WiredTiger的最小值日志记录大小），则WiredTiger不会压缩该记录。

2.8K3 0

python 日志记录

Filter是设置的模块，哪些需要记录，都可以配置。 Formatter是输出的格式，可以格式化时间，模块，级别。...fmt2 #root logger # #level: DEBUG, INFO, WARN, ERROR, CRITICAL , NOTSET. # 在root logger, NOTSET 表示记录所有信息

9011 0

mysql日志记录

一.mysql二进制日志配置如下: log-bin = /path/mysql-bin #其记录日志文件名为mysql-bin.index,mysql-bin.000001(注:重启或者单个文件超出限制会...like 'log_%'; #查看日志设置查看二进制日志 show binary logs; #查看日志文件个数与文件名 mysqlbinlog filename #查看二进制文件内容删除二进制日志...reset master; #删除全部二进制日志二进制日志恢复文件 mysqlbinlog [--start-date="Y-m-d" --stop-date="Y-m-d"] filename |...= /path/general_query.log 删除错误日志 flush logs 或 mysqladmin -uroot -ppass flush-logs 删除文件后重新创建四、慢查询日志...配置如下: slow_query_log = ON slow_query_log_file = /path/slow-query.log long_query_time = 10 #超过10秒会记录删除错误日志

4.7K2 0

-记录日志信息

记录日志信息配置使用多个日志调度器根据上下文修改记录信息使用第三方日志器 LoggerAware Trait（代码复用）你可以通过 log_message() 方法将信息记录在本地日志文件中...日志系统不提供警告系统管理员或网站管理者的方法，只是单纯的记录信息。对于诸多更为危险的错误级别，日志就会被异常调度器自动抛出，如上所述。...配置你可以修改 /app/Config/Logger.php 配置文件来修改哪些级别的事件会被实际记录，以及为不同的事件等级分配不同的日志记录器等。...你可以通过给报错阈值赋值一个包含报错等级数字的数组，来选择特定的报错级别: // 只记录debug和info类型的报错 public $threshold = [5, 8]; 使用多个日志调度器日志系统支持同时使用多种调度器来处理日志记录...现在开始，对 log_message() 的所有调用都会使用你自定义的日志器进行日志记录。

1.3K2 0

Python-SSH日志分析

日志，于是把文件拖下来拿去分析了一下，运行的时候停顿了十秒左右吧，当时还以为是程序出问题了，万万没想到 ?...我SSH日志是7天合一起，但也不应该这么多啊当时就，惊了，这什么玩意，我的服务器在记录SSH日志的时候顺手写了本小说给我吗最后分析的结果，因为内容太多，导致终端运行后，上面的内容看不到了，生活所迫，...才不得已的加了"新功能" 前面加上了时间，更直观的查看这条记录的时间了结果给覆盖了？...这个日志运行后的效果是这样的 ?...") Github链接： https://github.com/Ernket/SSH-log-audit 改动部分： https://github.com/Ernket/SSH-log-audit/commit

8122 0

平台某项目-服务器SSH密钥与日志和命令记录泄露

路径链接如下 /.bashrc 个人配置记录 ? /.ssh/authorized_keys 公钥 ? 更有意思的是泄露了站点服务器所有的操作记录 /.bash_history ?

6733 0

.NET Core 日志记录程序和常用日志记录框架

本文主要内容为.NET Core的日志记录程序和常使用的日志记录框架的简单使用首先，打开VS2019新建一个ASP.NET Core Web Api项目，项目创建好后会有一个集成好的天气预报的类和控制器...--指定日记记录方式，以滚动文件的方式（文件记录）--> <appender name="logInfoToFile" type="log4net.Appender.RollingFileAppender..."); throw; } finally { // 确保在应用程序退出前刷新和停止内部定时器/线程（避免Linux....MinimumLevel.Debug() // 如果遇到Microsoft命名空间，那么最小记录级别为Information...以上就是.NET Core 日志记录程序和常用日志记录框架的简单使用的介绍，做此记录，如有帮助，欢迎点赞关注收藏！

3251 0

日志传习录 | 记录日志

什么时候记录日志记录日志并没有标准的规范，通常是需要开发人员根据业务和代码来自行判断。日志的记录需涵盖多个方面，旨在提高系统的可维护性、可追溯性和故障排查的效率等操作。...问题排查：在核心业务发生问题时，有详细的日志记录可以提供关键线索，加速故障排查的过程。3. 记录核心业务的审计日志对于和法律或合同具有关联性的核心业务，加上审计日志是非常必要的实践。...记录哪些日志记录日志中的各种信息或元数据，它们提供了关于日志事件、状态和环境的额外上下文。这些日志信息的存在使得日志更加具体和可追溯，有助于在分析和排查问题时提供更多的上下文信息。...定期审查定期审查日志系统的配置和记录，确保符合安全最佳实践和公司政策。及时纠正任何潜在的安全问题。安全日志记录记录有关日志系统自身安全性的信息，包括登录尝试、配置更改等。...安全开发实践在开发过程中，采用安全的编码实践，防止因为日志记录导致的安全漏洞，如日志注入攻击。

1831 0

ssh学习随笔记录

SSH登录服务器免登录本地创建公私匙对（个人觉得新建一个专用的匙对比较好）： ssh-keygen -t rsa -C "github actions" 上传公匙到服务器 ssh-copy-id -i...# 例子：ssh-copy-id -i id_rsa.pub root@111.111.111.111 这个时候会报错： Windows ssh-copy-id : 无法将“ssh-copy-id”项识别为...解决方法：问题： ssh-copy-id : 无法将“ssh-copy-id”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。..." + "/.ssh/id_rsa.pub" if (!...$args $userAtMachine "umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/authorized_keys || exit 1"

7771 0

SSH日志审计脚本优化

在实际用的时候，感觉体验不怎么样，后来仔细想了一下，觉得少了点什么东西，于是就加上了一个检测爆破是否成功的功能，这样就更直观的发现问题了我还把失败的记录改成了，如果超过10条，那么不显示了，太多了，...的方式来看两组数据中是否存在交集 set(success_ip).intersection(set(failed_ip)) 后来测试的时候，又发现了一个新的问题，因为有的时候只是手抖敲错了密码，并非是爆破导致的连接失败的操作被记录在日志里...github链接 https://github.com/Ernket/SSH-log-audit

8751 0

Python-SSH日志审计

日常开头先扯点什么，最近有本内网安全攻防的书到了，质量确实不错，看着看着突然想了一下自己在进入内网机器后的一些信息收集的操作，然后就联想到了我服务器上的SSH日志上，众所周知，公网上的机器有事没事就会挨一顿扫...日志中，记录登录失败和成功 SSH日志文件，一般都存在 /var/log目录下，我是 Ubuntu系统，文件名叫做 auth.log 登录失败是有分两种情况已有的用户名登录，但是密码错误无效的用户名登录...第二种情况很明显，就是公网里有人在尝试SSH用户名爆破，这种报错呢，记录在SSH日志中，是长这个样的 Feb 16 18:26:21 xxxxx sshd[20958]: Failed password...for invalid user admina from xx.xx.xx.xx port 57609 ssh2 无效的用户 admina 第一种情况的话，记录的内容差不多，只不过没有 invalid...user 我们先建立两个空数组，用来储存成功、失败后的记录 ... success_record=[] failed_record=[] 接着利用 re来一条一条的匹配SSH日志内容 ... def

1K2 0

Linux下日志文件监控系统Logwatch的使用记录

在维护Linux服务器时，经常需要查看系统中各种服务的日志，以检查服务器的运行状态，如登陆历史、邮件、软件安装等日志。...那么如何主动、集中的分析这些日志，并产生报告，定时发送给管理员就会显得十分重要。对于运维人员来说，发现一款能把原始的日志文件转换成更人性化的记录摘要的工具，将会受益无穷。...logwatch的主要目的是生成更易于使用的日志摘要，并不是用来对日志进行实时的处理和监控的。...只能知道被记录下来的一段时间之内的特定事件，如果想要知道精确的时间点的信息，就不得不去查看原日志文件了。...logwatch安装 Logwatch能够对Linux 日志文件进行分析，并自动发送mail给相关处理人员，可定制需求。

5.8K11 1

Laravel 记录SQL日志

Laravel 默认只在sql语法错误时提示完整的sql日志，但实际情况接口慢，筛选条件和预期不符等，都需要看到sql语句，通过sql语句判断问题所在下面介绍实现方式第一步修改 AppServiceProvider.php...'s'; } } 第二步修改 config/logging.php 增加sql日志开关 /** * 开启sql日志 */ 'enable_log_sql'...=> env('LOG_SQL_ENABLED', true), 日志默认输出到 storage/logs/laravel.log文件，为了区分开，增加以下配置 'sql'

1.6K3 0

SpringBoot AOP 记录操作日志、异常日志

使用SpringBoot AOP 记录操作日志、异常日志我们在做项目时经常需要对一些重要功能操作记录日志，方便以后跟踪是谁在操作此功能。...我们可以在需要的方法中增加记录日志的代码，和在每个方法中增加记录异常的代码，最终把记录的日志存到数据库中。...Spring AOP 的主要功能就是将日志记录，性能统计，安全控制，事务处理，异常处理等代码从业务逻辑代码中划分出来。...今天我们就来用springBoot Aop 来做日志记录一、表结构使用的数据库为 PostgreSql，不同数据库SQL存在差异，自行修改即可。.../** * @path：com.demo.utils.aop.LogAspect.java * @className：LogAspect.java * @description：切面处理类，操作日志异常日志记录处理

3.3K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

linux ssh 日志记录

基础概念

优势

类型

应用场景

常见问题及解决方法

问题1：找不到SSH日志文件

问题2：日志文件过大

问题3：无法记录特定用户的登录尝试

问题4：日志中出现大量失败登录尝试

示例代码

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐