Você pode ver qual chave pública SSH foi usada no syslog.
O subconjunto de autenticação do syslog está geralmente em /var/log/auth.log
. Para todo o syslog, você pode tentar /var/log/syslog
ou /var/log/messages
.
As linhas de log devem se parecer com isso:
Sep 10 19:17:00 server.example.com sshd[1337]: Accepted publickey for ansible from 127.0.0.1 port 59934 ssh2: RSA 5a:5d:18:5d:21:b4:e3:f3:8a:ec:c3:d6:93:99:87:ae
Você deve ser capaz de analisar esse log com uma ferramenta como o logstash para criar estatísticas reais.