Например, если кто-то пытается подключиться к другому серверу по SSH или подключиться к другому серверу с моего сервера Ubuntu?
Есть ли для этого файл журнала?
К сожалению, не по умолчанию. Можно использовать брандмауэр для создания того. Принятие Вас использует ufw
:
# ufw allow out log to any proto tcp port 22
зарегистрирует все исходящие соединения с любым сервером на tcp порте 22. Местоположение файла журнала должно быть /var/log/ufw.log
, но это могло бы зарегистрировать его к /var/log/kern.log
или /var/log/syslog
в зависимости от конфигурации rsyslog.
Да существует использование следующая команда, чтобы проверить что:
sudo journalctl -u ssh
В случае, если журнал является слишком длинным, Вы можете pipe
, что в tail
или head
, в зависимости от которой части записей Вы хотите видеть:
sudo journalctl -u ssh | [tail | head]