.jpg)
在linux系統(tǒng)中,syslog是一個(gè)負(fù)責(zé)記錄系統(tǒng)消息的守護(hù)進(jìn)程。為了記錄用戶登錄信息,你需要對(duì)syslog進(jìn)行相應(yīng)的配置。以下是具體操作步驟:
- 打開(kāi)syslog的配置文件。通常情況下,該文件位于/etc/syslog.conf或/etc/rsyslog.conf路徑下。可以使用如下命令通過(guò)nano編輯器打開(kāi)文件:
sudo nano /etc/rsyslog.conf
- 在配置文件中查找以下語(yǔ)句:
#auth,authpriv.* /var/log/auth.log
該行表示將auth和authpriv相關(guān)的日志寫(xiě)入/var/log/auth.log文件中。要啟用此功能,請(qǐng)去掉行首的“#”符號(hào)以取消注釋。
- 如果你的系統(tǒng)使用的是syslog-ng而非rsyslog,則需要找到如下幾行內(nèi)容:
source s_auth { internal; }; destination d_auth { file("/var/log/auth.log"); }; log { source(s_auth); destination(d_auth); filter(authpriv); };
請(qǐng)確認(rèn)這些行未被注釋。
- 完成修改后保存并關(guān)閉配置文件。
- 接下來(lái)重啟syslog服務(wù)以使更改生效。如果你的系統(tǒng)使用systemd(如ubuntu 16.04及以上版本),可執(zhí)行以下命令:
sudo systemctl restart rsyslog
而對(duì)于使用SysVinit的系統(tǒng)(例如較舊版本的Ubuntu),則應(yīng)執(zhí)行:
sudo service rsyslog restart
完成上述操作后,syslog將會(huì)把用戶登錄相關(guān)的信息記錄到/var/log/auth.log文件中。你可以使用如下命令查看這些日志內(nèi)容:
cat /var/log/auth.log
也可以結(jié)合grep命令來(lái)過(guò)濾特定事件,比如:
grep "sshd" /var/log/auth.log
? 版權(quán)聲明
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載。
THE END
.png)
