实战-自定义ssh服务的日志类型和存储位置
实战-自定义ssh服务的日志类型和存储位置
[root@xuegod63 ~]# vim /etc/rsyslog.conf #以73行下,插入以下红色标记内容
73 local7.* /var/log/boot.log
74 local0.* /var/log/sshd.log
注:把local0类别的日志,保存到 /var/log/sshd.log路径
定义ssh服务的日志类别为local0,编辑sshd服务的主配置文件
[root@xuegod63 log]# vim /etc/ssh/sshd_config #插入
SyslogFacility local0
改:32 SyslogFacility AUTHPRIV
为:32 SyslogFacility local0
先重启rsyslog服务(生效配置)
# systemctl restart rsyslog
再重启sshd服务.生成日志
# systemctl restart sshd
验证是否生成日志并查看其中的内容,
[root@xuegod63 ~]# cat /var/log/sshd.log #说明修改成功
May 22 00:19:54 xuegod63 sshd[44737]: Server listening on 0.0.0.0 port 22.
May 22 00:19:54 xuegod63 sshd[44737]: Server listening on :: port 22.
上面对就的信息:时间 主机 服务 进程ID 相关的信息
互动:如何防止日志删除?
[root@xuegod63 ~]# chattr +a /var/log/sshd.log
[root@xuegod63 ~]# lsattr /var/log/sshd.log
-----a---------- /var/log/sshd.log
[root@xuegod63 ~]# systemctl restart sshd
[root@xuegod63 ~]# cat /var/log/sshd.log #重启服务,查看日志有所增加
注:这个功能看着很强大,其实不实用,因这样会让系统日志切割时报错,日志有时会太。最主的是,黑客可以取消这个属性。
[root@xuegod63 ~]# chattr -a /var/log/sshd.log #取消,这里一定要取消,不然后面做日志切割报错
互动:当日志太多,导致日志很文件大怎么办?
请看实战-日志切割-搭建远程日志收集服务器