实战-自定义ssh服务的日志类型和存储位置

实战-自定义ssh服务的日志类型和存储位置

[root@xuegod63 ~]# vim /etc/rsyslog.conf      #以73行下，插入以下红色标记内容

73  local7.*                                                /var/log/boot.log

74  local0.*                 /var/log/sshd.log

注：把local0类别的日志，保存到 /var/log/sshd.log路径

定义ssh服务的日志类别为local0，编辑sshd服务的主配置文件

[root@xuegod63 log]# vim /etc/ssh/sshd_config   #插入

SyslogFacility local0

改：32  SyslogFacility AUTHPRIV

为：32  SyslogFacility local0

先重启rsyslog服务(生效配置)

# systemctl restart rsyslog

再重启sshd服务.生成日志

# systemctl restart sshd

验证是否生成日志并查看其中的内容，

[root@xuegod63 ~]# cat  /var/log/sshd.log   #说明修改成功

May 22 00:19:54 xuegod63 sshd[44737]: Server listening on 0.0.0.0 port 22.

May 22 00:19:54 xuegod63 sshd[44737]: Server listening on :: port 22.

上面对就的信息：时间    主机  服务   进程ID   相关的信息

互动：如何防止日志删除？

[root@xuegod63 ~]# chattr +a /var/log/sshd.log

[root@xuegod63 ~]# lsattr /var/log/sshd.log

-----a---------- /var/log/sshd.log

[root@xuegod63 ~]# systemctl restart sshd 

[root@xuegod63 ~]# cat /var/log/sshd.log  #重启服务，查看日志有所增加

注：这个功能看着很强大，其实不实用，因这样会让系统日志切割时报错，日志有时会太。最主的是，黑客可以取消这个属性。

[root@xuegod63 ~]# chattr -a /var/log/sshd.log   #取消，这里一定要取消，不然后面做日志切割报错

互动：当日志太多，导致日志很文件大怎么办？

请看实战-日志切割-搭建远程日志收集服务器