SSH日誌詳解

在SSH日誌中，最常見的信息就是客戶端的IP地址。當多個人使用同一台服務器時，IP地址特別重要，可以幫助管理員更好地了解每個客戶端的活動情況。以下是如何獲取SSH日誌中的IP地址例子：

cat /var/log/auth.log | grep 'Accepted' | awk '{print $11}'

此命令將輸出所有已接受連接的客戶端IP地址。管理員可以根據這些信息來檢查服務器是否遭到暴力攻擊等非法活動。

如果管理員希望了解每個客戶端的MAC地址，可以使用下面的命令：

cat /var/log/auth.log | grep 'Accepted' | awk '{print $13}'

該命令將輸出所有已接受連接的客戶端MAC地址。但實際上，客戶端的MAC地址只能從本地網絡中獲取。如果客戶端在其他網絡中，則很難獲取MAC地址。

默認情況下，SSH日誌啟用於大多數Linux操作系統。但是，管理員可通過以下方法更改SSH日誌的級別：

sudo nano /etc/ssh/sshd_config

在這個文件中，管理員可以編輯SSH日誌的級別和其他設置。如果管理員希望重定向SSH日誌到其他位置，可以在這裡指定目錄。

如果管理員希望記錄SSH會話的所有活動，可以配置SSH服務器以記錄所有終端會話：

sudo nano /root/.bashrc

在該文件中，管理員可以添加以下命令：

/usr/bin/script -a /var/log/script.log

該命令將啟動名為“scriptlog”的新會話，並將所有會話記錄到/var/log/script.log文件中。

SSH日誌默認情況下在/var/log/auth.log文件中記錄。管理員可以使用以下命令查看該文件：

cat /var/log/auth.log

如果管理員希望查看SSH會話的所有記錄，可以使用以下命令：

cat /var/log/script.log

SSH日誌通常位於/var/log/auth.log文件中。但是，如果管理員更改了SSH日誌的級別或重定向了它到其他位置，則可能位於不同的位置。為了確保找到正確的日誌文件，請檢查SSH服務器的配置文件。

SSH日誌路徑通常是/var/log/auth.log。管理員可以通過以下命令找到SSH日誌的路徑：

sudo find / -name auth.log 2>/dev/null

該命令將在Linux文件系統上搜索auth.log文件，並輸出該文件的完整路徑。

SSH日誌文件通常是/var/log/auth.log或/var/log/secure文件中的一個。如果管理員希望了解系統上所有SSH日誌文件的位置，可以使用以下命令：

sudo find / -name '*ssh*'

該命令將在文件系統上搜索所有包含ssh的文件和目錄，並輸出它們的完整路徑。

SSH日誌中可能會出現pts / 0的引用。這意味着客戶端使用了終端連接。管理員可以對此進行更多了解，以確定客戶端的連接類型和活動。

在Ubuntu Linux中，SSH日誌通常位於/var/log/auth.log文件中。可以使用以下命令查找Ubuntu系統上的所有SSH日誌文件：

sudo find / -name '*ssh*'

管理員可以使用類似的命令來查找其他Linux系統上的SSH日誌文件。

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-hant/n/238875.html