Forum général.général logger SSH

Posté par  .
Étiquettes : aucune
0
15
juin
2006
bonjour,

Je voudrais que tout mes logs d'authentification concernant ssh soient écris dans /var/log/secure.

Pour l'instant avec ma config actuelle, seulement les authpriv.* y sont écrit. J'ai remarqué que dans /var/log/message y en avaient aussi (et beaucoup plus d'ailleurs)... je souhaiterais ne pas avoir d messages concernant l'authentification ssh dans /var/log/messages et que tous apparaissent dans /var/log/secure...

mon sshd_config :

#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO


mon syslog.conf :

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.
authpriv.* /var/log/secure

...


J'ai essayé cela dans syslog.conf :

auth,authpriv.* /var/log/secure


mais du coup dans /var/log/secure j'ai eu plein de choses qui ne conernaient pas ssh...

des idées? merci.

  • # syslog-ng (non support dans 90% des distributions)

    Posté par  (site web personnel) . Évalué à 2.

    Ta solution est syslog-ng (et rediriger toutes les lignes de log contenant "openssh:" dans un fichier différent)

    Pour ça tu va avoir besoin de faire deux trois changements :
    créer un filtre qui va reconnaitre les lignes de logs d'openssh
    créer une association entre ton fichier de log secure ou autre et ce filtre
    mofier le filtre de syslog pour filtrer négativement les lignes de ce filtre.

    Concrètement pour les lignes de logs shorewall :
    #fichier destination
    destination shorewallinfo { file("/var/log/shorewall/info"); };
    #filtre shorewall
    filter f_shorewallinfo { level (info) and match ("Shorewall"); };
    #association filtre/source/destination
    log { source(sys); filter(f_shorewallinfo); destination(shorewallinfo); };

    #filtre négatif
    filter f_mesgs { level(info..emerg) and not facility(mail,news,authpriv) and not match ("Shorewall"); };

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.