为什么 Stackdriver 上没有 sshd 日志？

Question 1

最后只是在/etc/google-fluentd/config.d/syslog.conf

<source>
  @type tail

  # Parse the timestamp, but still collect the entire line as 'message'
  format /^(?<message>(?<time>[^ ]*\s*[^ ]* [^ ]*) .*)$/

  path /var/log/auth.log
  pos_file /var/lib/google-fluentd/pos/auth.log.pos
  read_from_head true
  tag auth
</source>

Answer

最后只是在/etc/google-fluentd/config.d/syslog.conf

<source>
  @type tail

  # Parse the timestamp, but still collect the entire line as 'message'
  format /^(?<message>(?<time>[^ ]*\s*[^ ]* [^ ]*) .*)$/

  path /var/log/auth.log
  pos_file /var/lib/google-fluentd/pos/auth.log.pos
  read_from_head true
  tag auth
</source>

Question 2

第一个问题的答案是，Compute Engine 的 VM 映像默认不包含日志代理。要回答第二个问题，您需要在 VM 上安装 Stackdriver 日志代理。请按照信息和说明进行操作这里。我可以重现该过程以确保其正常工作。安装代理后，您将能够在 Stackdriver Logging 中看到 SSH 连接，例如，它们的标头如下所示：“..session opens for user USER”。它还会记录 SSH 会话何时关闭；其标头如下所示：“...session closed for user USER”。

Answer

第一个问题的答案是，Compute Engine 的 VM 映像默认不包含日志代理。要回答第二个问题，您需要在 VM 上安装 Stackdriver 日志代理。请按照信息和说明进行操作这里。我可以重现该过程以确保其正常工作。安装代理后，您将能够在 Stackdriver Logging 中看到 SSH 连接，例如，它们的标头如下所示：“..session opens for user USER”。它还会记录 SSH 会话何时关闭；其标头如下所示：“...session closed for user USER”。

为什么 Stackdriver 上没有 sshd 日志？

答案1

答案2

相关内容