web-dev-qa-db-ja.com

auth.logファイルが空なのはなぜですか?

サービスを実行しているubuntu14.04サーバーがあり、現在ログの視覚化を設定していますが、/ var/log /auth.logが空であることに気付きました。

Sshキーを使用する以外にssh接続を無効にしたので、それほど多くはないと思いました。しかし、私はsshdログがあることを期待していました。 sshキーを使用してログインを確認できる場所は他にありますか、それとも私が気付いていない何かが起こっていますか?

私の最終的な目標は、誰かがキーを使用して、またはキーなしでログインしようとするたびにログを記録することです。


EDIT1

Auth.logバックアップがあるようですが、sshの試行、またはキーを使用したsshログインの成功を記録していません。 CRONジョブのみを表示します。

また、sshd_configのログレベルをINFOではなくVERBOSEに上げました。

1
trueCamelType

Ubuntuシステムでは、 rsyslog はシステムロギングを処理し、いくつかのデーモン(sshdなど)からの出力を、その構成に従ってそれぞれのログにリダイレクトします。

ログファイルの使用に影響を与える可能性のあるいくつかの構成ファイルがあります。まず、rsyslogをデバッグし、最初に/ etc/rsyslog.dconfig をチェックします(おそらく50-デフォルト.conf)そしてshould次のような行を探します:

auth,authpriv.*         /var/log/auth.log

/var/log/auth.logに設定されていない場合は、問題が見つかっただけで、出力は別の場所に移動しています。そうでない場合...

次に、rsyslogが実際にsystemctl status rsyslogで実行されていることを確認します。実行されていない場合は、何かが無効になっている可能性がありますそれまたはサービスとして存在しない場合は、systemctl enable rsyslogを使用してデーモンを再度有効にすることができます(存在する場合)。

また、 sshd config は、ロギングを完全に無効にするか、rsyslogの構成を上書きする可能性があります。sshd.conf/内のSyslogFacilityを確認してください。、メッセージを別のrsyslog機能にリダイレクトする可能性がありますデフォルトではAUTH(最初のステップの構成の行として) )。もちろん、LogLevelも重要ですが、VERBOSEに含まれているため、問題ありません。

Sshdをデバッグするには、 man に記載されているように、-dを使用してデバッグモードに設定してみてください。

デバッグモード。サーバーは詳細なデバッグ出力を標準エラーに送信し、バックグラウンドに配置しません。サーバーもフォークせず、1つの接続のみを処理します。このオプションは、サーバーのデバッグのみを目的としています。複数の-dオプションを使用すると、デバッグレベルが上がります。最大は3です。

もちろん、sshd接続を使用している場合は、sshdを微調整している間は注意にしてください。もちろん、リモートマシンからロックされてしまいます。

もう1つの理由は、ファイルの所有権が間違っている可能性があります。

ファイルの所有権を確認してください-/var/log/auth.log

Syslog:admが所有していない場合は、syslog:admに変更します。

Sudo chown syslog:adm /var/log/auth.log

これにより、Ubuntuの問題が修正されました。

3
Nikhil Vijayan

Rsyslogがない場合は、ubuntuが「最小化」されていることが原因である可能性があり、通常はログイン時に次のメッセージが表示されます。

このシステムは、ユーザーがログインしていないシステムで不要なパッケージとコンテンツを削除することで最小限に抑えられています。

このコンテンツを復元するには、「unminimize」コマンドを実行します。

したがって、unminimizeを実行して確認するだけです。

1
the_nuts