自定义ssh服务的日志类型和存储位置

修改日志服务配置文件：
vim /etc/rsyslog.conf
在第73行加入：
# Save boot messages also to boot.log
73 local7.*                                                /var/log/boot.log
74 local0.*                                                /var/log/sshd.log



把local0类别的日志保存到 /var/log/sshd.log中。

（1）定义ssh服务的日志类别为local0，编辑sshd服务的主配置文件。

vim /etc/ssh/sshd_config   #修改如下内容：
将32 SyslogFacility AUTHPRIV改为32 SyslogFacility local0。

（2）先重启rsyslog服务，使配置生效。

systemctl restart rsyslog

（3）再重启sshd服务，生成日志。

systemctl restart sshd

（4）验证是否生成日志并查看其中的内容。

cat /var/log/sshd.log

[root@testhost ~]# cat /var/log/sshd.log
Jul 23 13:11:02 testhost sshd[26028]: Server listening on 0.0.0.0 port 22.

上面显示的日志对应的信息：时间 主机名 服务名 PID 相关的信息。

可以使用特殊属性防止删除日志。

注意：这个功能看着很强大，其实不实用，因为添加该属性会让系统日志切割时报错（日志有时会太大，需要对日志文件进行切割），最主要的是该属性可以被取消。
#chatrr -a /var/log/sshd.log