自定义ssh服务的日志类型和存储位置

修改日志服务配置文件：
vim /etc/rsyslog.conf
在第73行加入：
# Save boot messages also to boot.log
73 local7.*                                                /var/log/boot.log
74 local0.*                                                /var/log/sshd.log



把local0类别的日志保存到 /var/log/sshd.log中。

（1）定义ssh服务的日志类别为local0，编辑sshd服务的主配置文件。

vim /etc/ssh/sshd_config   #修改如下内容：
将32 SyslogFacility AUTHPRIV改为32 SyslogFacility local0。

（2）先重启rsyslog服务，使配置生效。

systemctl restart rsyslog

（3）再重启sshd服务，生成日志。

systemctl restart sshd

（4）验证是否生成日志并查看其中的内容。

cat /var/log/sshd.log

[root@testhost ~]# cat /var/log/sshd.log
Jul 23 13:11:02 testhost sshd[26028]: Server listening on 0.0.0.0 port 22.

上面显示的日志对应的信息：时间 主机名 服务名 PID 相关的信息。

可以使用特殊属性防止删除日志。

注意：这个功能看着很强大，其实不实用，因为添加该属性会让系统日志切割时报错（日志有时会太大，需要对日志文件进行切割），最主要的是该属性可以被取消。
#chatrr -a /var/log/sshd.log

上一页修复服务器文件系统下一页日志切割及搭建远程日志收集服务器

最后更新于4年前

这有帮助吗？