Isso pode ser impossível, mas tenho um caso em que queremos registrar falhas de autenticação SSH separadamente do registro SSH padrão em uma caixa RHEL 6.6.
Estou ciente de que podemos usar SyslogFacility com sshd_config para especificar para onde enviar os dados do registro. É possível enviar apenas falhas de autenticação SSH via ?
Editar : Se não estiver em sshd ou sshd_config , como isso pode ser feito no lado do syslog?
rsyslog torna isso relativamente fácil, já que você pode combinar aspectos de qualquer mensagem que chegue.
Inclua um snippet como este (no meu caso eu coloquei um arquivo *.conf em /etc/rsyslog.d/ ):
if $programname == 'sshd' then {
if $msg contains 'Invalid user' then { # adjust to your needs
*.* -/var/log/sshd-fails.log
}
stop # discard all other messages from sshd
}
A documentação pode ser encontrada aqui .
Syslog é definitivamente o caminho a percorrer neste. Como você escreve as regras depende se você está usando o rsyslog ou o syslog-ng, mas para o syslog-ng adicione o seguinte ao arquivo /etc/syslog-ng/syslog-ng.conf .
destination ssh_auth_fail { file("/path/to/file.log"); };
filter f_ssh_auth_fail { message("regex to match desired lines"); };
log { source(src); filter(f_ssh_auth_fail); destination(ssh_auth_fail); };