Где Ubuntu 14.04 регистрирует попытки доступа SSH? [дубликат]
На этот вопрос уже есть ответ здесь:
Попытка выяснить, почему fail2ban не работает.
Где Ubuntu 14.04 регистрирует попытки доступа по SSH?
2 ответа
Настройки журнала по умолчанию для ssh - «INFO».
Если вы хотите, чтобы он включал попытки входа в систему в файле журнала, вам нужно отредактировать файл /etc/ssh/sshd_config и изменить «LogLevel» со INFO на VERBOSE.
После этого перезапустите демон sshd с помощью
sudo service rsyslog restart
. После этого попытки входа в систему через ssh будут зарегистрированы в файле /var/log/auth.log.
Все попытки входа в систему зарегистрированы к /var/log/auth.log
Поиск логинов SSH "в лоб"
Выполните эту команду:
grep sshd.\*Failed /var/log/auth.log | less
Поиск неудавшихся соединений
Выполните эту команду:
grep sshd.*Did /var/log/auth.log | less
ОБНОВЛЕНИЕ:
Необходимо попытаться перезапустить демона системного журнала, чтобы видеть, начинает ли это регистрироваться в корректный файл.
sudo service rsyslog restart
После того как у Вас есть сообщения, идущие в the auth.log это должно начать работать.