Главная » Linux

Linux no auth log

Содержание
  1. Не пишутся логи
  2. не по теме
  3. How to Enable SSH Log and List Failed Login in Linux
  4. Enable syslog Logging
  5. Check failed ssh login
  6. Conclusion
  7. Лог файлы Linux по порядку
  8. Основные лог файлы
  9. И другие журналы
  10. Чем просматривать — lnav

Не пишутся логи

У меня на VPS auth.log, daemon.log, messages, dmesg, syslog, boot, debug, mail.log пустые. Помогите найти причину, почему не пишутся эти логи.

ps aux | grep systemd

ps aux | grep systemd

Я не силён в линуксе, поэтому прошу, отвечайте как новичку, пожалуйста

какой дистр. установлен?

systemd перехватывает часть логов. В этой системе инициализации уже столько всего, что это настоящий комбайн.

Ubuntu Linux 12.04.2

command not found

Я не силён в линуксе, поэтому прошу, отвечайте как новичку, пожалуйста

В таком случае тебе проще всего установить webmin и крутить всякие настройки до прояснения ситуации методом тыка. Как выяснишь что да как, сносишь нах всю загаженную систему и ставишь новую в соответствии с недавноприобретённым чувством прекрасного. Если осознание что и как должно работать, чтобы было правильно, не наступает, просто не запаривайся и найди человека, который будет крутить все эти крутилки за тебя.

Webmin давно установлен. Тыкался уже везде, ничего не прояснилось. С помощью этого форума много задач решил, вот и сейчас есть надежда на помощь. Кстати, техподдержка должна помочь? Или это в их обязанности не входит?

Задай вопрос поддержке, думаю не побьют.

ага. Предлагают несколько вариантов: google, перезагрузка, переустановка, найми сисадмина. Другая помощь, говорят, в их обязанности не входит. У всех такая техподдержка, или моя отстой?

ну ладно, стоило попытаться )
на всякий случай, что говорит ls -la /var/log ?
и попробуй sudo apt-get install —reinstall rsyslog

Предлагают несколько вариантов: google, перезагрузка, переустановка, найми сисадмина

сколько в инете ищу решение проблемы, везде говорится о «/etc/syslog» или «/etc/rsyslog». У меня нет ни syslog, ни rsyslog. Так должно быть? Что тогда у меня отвечает за логирование?

скорее всего его и не было в деплой-скрипте от хостера для экономии места на машинах. установка rsyslog должна решить проблему, значит.
и раз такая пьянка, обновил бы дистр до более актуальной версии, 14.04 хотяб.

rsyslog у меня нет. Может, что-то другое отвечает за логирование? Или rsyslog должен быть обязательно.

Спасибо. Я так же подумал 🙂

поставь rsyslog и ещё logrotate на всякий.

Так. Значит установить rsyslog. А обновление дистрибутива мои настройки не собъёт? Или все программы заново ставить и настраивать?

Не должно ничего поломаться. Возможно придётся перезапустить виртуалку, чтоб логи начали вестись.

установил: sudo apt-get install rsyslog -y.

Вылезла ошибка после установки:

что-то поломалось в апте, похоже.
df -h что говорит ?

apt-get update && apt-get install -f
может быть попробовать все пакеты привести в актуальное состояние
apt-get upgrade

Лол. Вот как раз с systemd проблем бы не было.

Это похоже хвалёный upstart/sysVinit рассыпался.

да тут может оказаться, что образ виртуалки побит.
хотя как знать, может кто-то уже копался в этой виртуалке, поломал зависимости и согласился на снос нужных системных пакетов.

Ошибки появляются. Уже голова трещит. Может я раньше где-то накосячил. Короче, пришлось переустановить систему(Ubuntu 16.04). Сейчас с логами порядок. Всем спасибо

Видимо потому что срок поддержки этого дистрибутива был окончен (12.04 всё-таки вышла давно):

Тебе нужно было просто немного отредактировать файл /etc/apt/sources.list, как сказано здесь:

А вообще советую посмотреть в сторону такого дистрибутива, как CentOS. Там гораздо больший срок поддержки: https://en.wikipedia.org/wiki/CentOS#End-of-support_schedule

Спасибо за информацию. Так получилось, что с убунтой начал знакомится. А переходить на другой дистр мне будет тяжело (не молодой уже :))

Читайте также:  Экран сдвинулся вверх что делать windows 10

не по теме

Добрый день. Я пытался найти способ связаться с вами на данном форуме но не нашел в профиле возможностей для связи поэтому пожалуйста не ругайтесь что пишу здесь. Я из ТМ и у меня такая же проблема как и у вас насчет блокировок и ограничения по скорости. Я думаю что знаю метод обхода и да он чисто китайский, как сокс прокси и он мне давал скорость большую + сейчас я через него сижу но скорости несколько дней уже как не дает не пойму в чем причина. Я мог бы озвучить название клиента который реально даже для андроид есть но в целях приватности лучше в личку. Напишите мне в телеграм AlexSparda, чтобы обсудить данный вопрос. Я сам все это знаю и даже пришел к этом чуть раньше чем вы в 2015 году, но может у вас есть еще скорость?

Источник

How to Enable SSH Log and List Failed Login in Linux

As we know SSH protocol provide remote login facility and hence it is important to maintain the login logs. System admin can achieve this by configuring in syslogd services.

In Linux, syslogd is the unix logging service that maintains the logs that are sent by the programs to the syslog daemon, syslogd forwards them to another destination such as a console or a file. Destination is specified in the syslog configuration file /etc/syslog.conf.

In this tutorial we will learn how to enable ssh log and check Linux command to list failed ssh login attempts.

Enable syslog Logging

Lets first check config file whether ssh logging enabled or not, use the following command:

By default, ssh logging is enabled, if not enable then enable SSH logging we need to configure the syslog.conf by adding in /etc/syslog.conf file.

When SSH server runs, it will produce the log messages in sshd.log to describe what is going on. These log messages will help the system administrator to track the system details such as who logged in and logged out and to troubleshoot the problem.

The /etc/ssh/sshd_config file is a system-wide configuration file for open SSH service which allows you to set options that modify the operation of the daemon. This configuration file contains keyword-value pairs and one per line with keywords being case sensitive.

SyslogFacility AUTH and AUTHPRIV

Messages received by syslogd are processed according to their facility which indicates a the origin of the message. Standard SyslogFacility includes KERN (Messages from the OS Kernel), DAEMON (Messages from the Service or Daemon), USER (Messages from the user processes), MAIL (Messages from the email System) and others.

By default, the facility for SSH server messages is AUTHPRIV. This choice may be changed with the SSH keyword SyslogFacility which determines the syslog facility code for logging SSH Messages. Other possible values of SyslogFacility are DAEMON, USER, AUTH, AUTHPRIV, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6 and LOCAL7. The default is AUTHPRIV.

The option SyslogFacility specifies the facility code used when logging messages from sshd. The facility specifies the subsystem that produced the message—in our case, AUTH.

Normally, all authentication related messages are logged with the AUTHPRIV (or AUTH) facility [intended to be secure and never seen by unwanted eyes], while normal operational messages are logged with the DAEMON facility.

Enable Auth in sshd_config file

LogLevel

Читайте также:  Как посмотреть версию биос windows

It gives the verbosity level that is used when logging messages from sshd. The possible other values are QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 and DEBUG3. The default is INFO. DEBUG and DEBUG1 are equivalent. DEBUG2 and DEBUG3 each specify higher levels of debugging the out-put.

If you want to record more information such as failed login attempts, then you should increase the logging level to VERBOSE.

Make sure to uncomment the below lines to enable loglevel.

Now you need to Restart ssh service

To enable the service of SSH, use the service sshd start command.

You can use watch command to see live ssh log file updates.

Check failed ssh login

You can use any of the below commands to check failed ssh login session on Centos and Ubuntu.

On Centos and Redhat

On Centos 7 and newer Linux distros using systemd

If you had auditd package installed, then you can use aureport tool to get authentication report. To get a report for all the failed attempts made:

Conclusion

There are mainly 3 different log managers available to Linux to collect and store logs. The default is syslog, other two are rsyslog and Syslog-ng.

Newer Linux distros use systemd’s logging service, which uses Journalctl for querying and displaying logs from journald.

I hope you enjoyed reading this tutorial on ssh logging and please leave your thoughts on this tutorial in the below comment section.

Источник

Лог файлы Linux по порядку

Невозможно представить себе пользователя и администратора сервера, или даже рабочей станции на основе Linux, который никогда не читал лог файлы. Операционная система и работающие приложения постоянно создают различные типы сообщений, которые регистрируются в различных файлах журналов. Умение определить нужный файл журнала и что искать в нем поможет существенно сэкономить время и быстрее устранить ошибку.

Журналирование является основным источником информации о работе системы и ее ошибках. В этом кратком руководстве рассмотрим основные аспекты журналирования операционной системы, структуру каталогов, программы для чтения и обзора логов.

Основные лог файлы

Все файлы журналов, можно отнести к одной из следующих категорий:

Большинство же лог файлов содержится в директории /var/log .

  • /var/log/syslog или /var/log/messages содержит глобальный системный журнал, в котором пишутся сообщения с момента запуска системы, от ядра Linux, различных служб, обнаруженных устройствах, сетевых интерфейсов и много другого.
  • /var/log/auth.log или /var/log/secure — информация об авторизации пользователей, включая удачные и неудачные попытки входа в систему, а также задействованные механизмы аутентификации.
  • /var/log/dmesg — драйвера устройств. Одноименной командой можно просмотреть вывод содержимого файла. Размер журнала ограничен, когда файл достигнет своего предела, старые сообщения будут перезаписаны более новыми. Задав ключ —level= можно отфильтровать вывод по критерию значимости.
  • /var/log/alternatives.log — Вывод программы update-alternatives , в котором находятся символические ссылки на команды или библиотеки по умолчанию.
  • /var/log/anaconda.log — Записи, зарегистрированные во время установки системы.
  • /var/log/audit — Записи, созданные службой аудита auditd .
  • /var/log/boot.log — Информация, которая пишется при загрузке операционной системы.
  • /var/log/cron — Отчет службы crond об исполняемых командах и сообщения от самих команд.
  • /var/log/cups — Все, что связано с печатью и принтерами.
  • /var/log/faillog — Неудачные попытки входа в систему. Очень полезно при проверке угроз в системе безопасности, хакерских атаках, попыток взлома методом перебора. Прочитать содержимое можно с помощью команды faillog .
  • var/log/kern.log — Журнал содержит сообщения от ядра и предупреждения, которые могут быть полезны при устранении ошибок пользовательских модулей встроенных в ядро.
  • /var/log/maillog/ или /var/log/mail.log — Журнал почтового сервера, используемого на ОС.
  • /var/log/pm-powersave.log — Сообщения службы экономии заряда батареи.
  • /var/log/samba/ — Логи файлового сервера Samba , который используется для доступа к общим папкам Windows и предоставления доступа пользователям Windows к общим папкам Linux.
  • /var/log/spooler — Для представителей старой школы, содержит сообщения USENET. Чаще всего бывает пустым и заброшенным.
  • /var/log/Xorg.0.log — Логи X сервера. Чаще всего бесполезны, но если в них есть строки начинающиеся с EE, то следует обратить на них внимание.
Читайте также:  Cisco system vpn client windows 10

Для каждого дистрибутива будет отдельный журнал менеджера пакетов.

  • /var/log/yum.log — Для программ установленных с помощью Yum в RedHat Linux.
  • /var/log/emerge.log — Для ebuild -ов установленных из Portage с помощью emerge в Gentoo Linux.
  • /var/log/dpkg.log — Для программ установленных с помощью dpkg в Debian Linux и всем семействе родственных дистрибутивах.

И немного бинарных журналов учета пользовательских сессий.

  • /var/log/lastlog — Последняя сессия пользователей. Прочитать можно командой last .
  • /var/log/tallylog — Аудит неудачных попыток входа в систему. Вывод на экран с помощью утилиты pam_tally2 .
  • /var/log/btmp — Еже один журнал записи неудачных попыток входа в систему. Просто так, на всякий случай, если вы еще не догадались где следует искать следы активности взломщиков.
  • /var/log/utmp — Список входов пользователей в систему на данный момент.
  • /var/log/wtmp — Еще один журнал записи входа пользователей в систему. Вывод на экран командой utmpdump .

И другие журналы

Так как операционная система, даже такая замечательная как Linux, сама по себе никакой ощутимой пользы не несет в себе, то скорее всего на сервере или рабочей станции будет крутится база данных, веб сервер, разнообразные приложения. Каждое приложения или служба может иметь свой собственный файл или каталог журналов событий и ошибок. Всех их естественно невозможно перечислить, лишь некоторые.

  • /var/log/mysql/ — Лог базы данных MySQL.
  • /var/log/httpd/ или /var/log/apache2/ — Лог веб сервера Apache, журнал доступа находится в access_log , а ошибки — в error_log .
  • /var/log/lighthttpd/ — Лог веб сервера lighttpd.

В домашнем каталоге пользователя могут находится журналы графических приложений, DE.

/.xsession-errors — Вывод stderr графических приложений X11.

/.xfce4-session.verbose-log — Сообщения рабочего стола XFCE4.

Чем просматривать — lnav

Почти все знают об утилите less и команде tail -f . Также для этих целей сгодится редактор vim и файловый менеджер Midnight Commander. У всех есть свои недостатки: less неважно обрабатывает журналы с длинными строками, принимая их за бинарники. Midnight Commander годится только для беглого просмотра, когда нет необходимости искать по сложному шаблону и переходить помногу взад и вперед между совпадениями. Редактор vim понимает и подсвечивает синтаксис множества форматов, но если журнал часто обновляется, то появляются отвлекающие внимания сообщения об изменениях в файле. Впрочем это легко можно обойти с помощью .

Недавно я обнаружил еще одну годную и многообещающую, но слегка еще сыроватую, утилиту — lnav, в расшифровке Log File Navigator.

Установка пакета как обычно одной командой.

Навигатор журналов lnav понимает ряд форматов файлов.

  • Access_log веб сервера.
  • CUPS page_log
  • Syslog
  • glog
  • dpkg.log
  • strace
  • Произвольные записи с временными отметками
  • gzip, bzip
  • Журнал VMWare ESXi/vCenter

Что в данном случае означает понимание форматов файлов? Фокус в том, что lnav больше чем утилита для просмотра текстовых файлов. Программа умеет кое что еще. Можно открывать несколько файлов сразу и переключаться между ними.

Программа умеет напрямую открывать архивный файл.

Показывает гистограмму информативных сообщений, предупреждений и ошибок, если нажать клавишу . Это с моего syslog-а.

Кроме этого поддерживается подсветка синтаксиса, дополнение по табу и разные полезности в статусной строке. К недостаткам можно отнести нестабильность поведения и зависания. Надеюсь lnav будет активно развиваться, очень полезная программа на мой взгляд.

Источник

Оцените статью
© 2024 Советы по настройке компьютера