前言

在实际生产网络中,对于linux服务器用到最多的服务就是ssh和sftp,分别用来管理服务器和文件操作,但是当遇到突发情况,需要查询相关日志,什么人什么时间登录了服务器,修改了什么文件,这是追踪溯源所必须的一块内容,而默认ssh服务不开启日志,这里就讲解一下Linux如何开启ssh和ftp服务的日志记录

准备

系统版本:centos 6.5
修改ssh配置

  1. vi /etc/ssh/sshd_config
  2. 在最后一行增加以下命令
  3. Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO -f local5
  4. LogLevel INFO

注:如文件中已经存在如下配置,请先注释
linux配置SFTP日志 - 图1

修改rsyslog配置

  1. vi /etc/rsyslog.conf
  2. 在最后一行增加以下命令
  3. auth,authpriv.*,local5.* /var/log/sftp.log

重启服务

  1. service rsyslog restart
  2. service sshd restart

查看日志

  1. tail -f /var/log/sftp.log

linux配置SFTP日志 - 图2