如何在 rhel 6 中将 ssh 日志位置从 /var/log/secure 更改为自定义位置？

Question 1

选择一个未使用的本地设施。例如，local3 不用于系统中的任何日志记录。所以首先编辑/etc/sshd_config配置文件。

 #SyslogFacility AUTH
 SyslogFacility local3

现在配置 rsyslog 将 local3 日志记录到您需要的文件中。将以下内容添加到您的/etc/rsyslog.conf.

#Logging sshd to another file. Using local3 facility.
local3.* /SOME/PATH/YOU/WANT/YOUR/SSHD/LOGS/TO-BE.log

当然，其中/SOME/PATH/YOU/WANT/YOUR/SSHD/LOGS/TO-BE.log 应该替换为您想要重定向 sshd 日志的文件的位置，明智地我希望可以是/var/log/sshd.log.

然后像往常一样，重新启动服务：

   service rsyslogd restart

Answer

选择一个未使用的本地设施。例如，local3 不用于系统中的任何日志记录。所以首先编辑/etc/sshd_config配置文件。

 #SyslogFacility AUTH
 SyslogFacility local3

现在配置 rsyslog 将 local3 日志记录到您需要的文件中。将以下内容添加到您的/etc/rsyslog.conf.

#Logging sshd to another file. Using local3 facility.
local3.* /SOME/PATH/YOU/WANT/YOUR/SSHD/LOGS/TO-BE.log

当然，其中/SOME/PATH/YOU/WANT/YOUR/SSHD/LOGS/TO-BE.log 应该替换为您想要重定向 sshd 日志的文件的位置，明智地我希望可以是/var/log/sshd.log.

然后像往常一样，重新启动服务：

   service rsyslogd restart

Question 2

您需要在文件中更改/添加以下行/etc/rsyslog.conf：

authpriv.*                                              /var/log/custom_secure

并重新启动您的rsyslog守护进程 ( service rsyslogd restart)。

Answer

您需要在文件中更改/添加以下行/etc/rsyslog.conf：

authpriv.*                                              /var/log/custom_secure

并重新启动您的rsyslog守护进程 ( service rsyslogd restart)。

Question 3

您还可以专门将 sshd 日志隔离到另一个文件。

将此行附加到/etc/rsyslog.conf：

:programname, isequal, "sshd" /var/log/sshd.log

请注意，sshd 日志将同时写入/var/log/secure和/var/log/sshd.log，但这样我们可以将 sshd 隔离到另一个文件（没有 polkitd、没有 sudo 等）

Answer

您还可以专门将 sshd 日志隔离到另一个文件。

将此行附加到/etc/rsyslog.conf：

:programname, isequal, "sshd" /var/log/sshd.log

请注意，sshd 日志将同时写入/var/log/secure和/var/log/sshd.log，但这样我们可以将 sshd 隔离到另一个文件（没有 polkitd、没有 sudo 等）

相关内容