Onde estão meus logs sshd?

Encontrei a saída do sshd e de outros serviços principais em 'journalctl'.

Veja mais na entrada Arch Wiki do systemd:

link

Tente este comando para ver o log do systemctl:

journalctl -u sshd |tail -100

A melhor maneira de ver a última parte do log é:

journalctl -u sshd -n 100

Usar tail na saída de journalctl pode ser muito lento. Levou 5 minutos em uma máquina onde tentei, enquanto o comando acima retorna instantaneamente.

Você deve conseguir filtrar mensagens de sshd usando:

journalctl -u ssh

ou (dependendo da sua distribuição)

journalctl -u sshd

que mostrará os registros em um formato de estilo less (você pode pesquisar / , navegar pelo PgUp, PgDown etc.).

• -e leva você até o final dos registros.
• O parâmetro -u é filtrado através do meta-campo _SYSTEMD_UNIT , que é (pelo menos no Debian) definido como ssh.service , portanto, sshd não corresponderá.
• -f segue os logs em tempo real
• -n 100 exibe o número de linhas (útil com -f )

Como alternativa, você pode usar a filtragem de campos meta:

journalctl _COMM=sshd

Você pode exibir todo o registro do diário com todos os meta-campos exportando para o JSON:

journalctl -u ssh -o json-pretty

que lhe daria algo como:

    ...
    "_PID" : "7373",
    "_COMM" : "sshd",
    "_EXE" : "/usr/sbin/sshd",
    "_SYSTEMD_CGROUP" : "/system.slice/ssh.service",
    "_SYSTEMD_UNIT" : "ssh.service",
    ...

Caso você queira saber como exibir apenas as mensagens do kernel:

journalctl -k -f

Dê uma olhada na configuração do seu syslog. Most probalby /etc/syslog.conf or /etc/rsyslog.conf Você deve procurar linhas com auth , por exemplo, em minha configuração:

auth,authpriv.* /var/log/auth.log

*.*;auth,authpriv.none -/var/log/syslog