Изолировать ошибки аутентификации SSH в собственный файл журнала на RHEL 6.6

Это может быть невозможно, но у меня есть случай, когда мы хотим регистрировать SSH-проверки подлинности отдельно от стандартного входа SSH в поле RHEL 6.6.

Я знаю, что мы можем использовать SyslogFacility с sshd_config чтобы указать, куда отправлять данные журнала, можно ли отправлять только SSH-аутентификации с помощью этого метода?

Изменить : если не в sshd или sshd_config , как это можно сделать на стороне syslog?

  • tmux сеанс убит при отключении от ssh
  • Выполнение удаленной команды в SSH-соединении, перед входом в систему
  • Не удается войти через ssh
  • Почему ключи SSH хоста отличаются при подключении, если host_keys одинаковы?
  • Запуск ssh удаленных команд на `bash_history`
  • Экспедирование Kerberos в SSSD
  • ssh отключить аутентификацию пароля
  • Как разрешить ssh-соединение отказано в AIX?
  • 2 Solutions collect form web for “Изолировать ошибки аутентификации SSH в собственный файл журнала на RHEL 6.6”

    rsyslog делает это относительно легко, поскольку вы можете сопоставлять аспекты любого сообщения.

    Добавьте такой фрагмент (в моем случае я ввел файл *.conf в /etc/rsyslog.d/ ):

     if $programname == 'sshd' then { if $msg contains 'Invalid user' then { # adjust to your needs *.* -/var/log/sshd-fails.log } stop # discard all other messages from sshd } 

    Документацию можно найти здесь .

    Syslog, безусловно, способ пойти на этот. Как вы пишете правила, зависит от того, используете ли вы rsyslog или syslog-ng, но для syslog-ng добавьте следующее в /etc/syslog-ng/syslog-ng.conf .

     destination ssh_auth_fail { file("/path/to/file.log"); }; filter f_ssh_auth_fail { message("regex to match desired lines"); }; log { source(src); filter(f_ssh_auth_fail); destination(ssh_auth_fail); }; 
    Interesting Posts

    Изменение пароля в нескольких блоках с использованием скрипта

    Как диагностировать надежную ненадежную связь?

    Почему пользователи могут удалять файлы друг друга в этом случае

    Почему «чужой адрес» не IP-адрес, а что-то вроде этого?

    Почему «Классы символов» предпочтительнее «Диапазоны символов» в «Шелл» (Bash)?

    Где получить информацию о неисправном диске?

    Как предотвратить включение DPMS / скринсейвера при использовании геймпада?

    sudo over ssh: нет tty настоящего и не запрошена программа askpass

    Разбивается ли gnu coreutils?

    Получить журнал из ядра при загрузке

    Доступна реализация TCP Westwood?

    Сетевой менеджер не показывает беспроводное соединение

    Частота процессора возвращается после масштабирования с помощью индикатора-cpufreq, приостановки и пробуждения

    Как создать команду bash, которая создает вывод, который точно имитирует исходный текстовый файл, который можно вставить в оболочку bash, где включен histexpand?

    Kali 2.0 Reaver 1.5.2 Ошибка времени ожидания запроса EAPOL (код: 0x02)

    Linux и Unix - лучшая ОС в мире.