Registre entradas em /var/log/secure rastrear eventos de autenticação. Um evento de autenticação acontece sempre que você abre uma conexão SSH. Essas entradas também podem aparecer em /var/log/auth.log , /var/log/syslog , /var/log/daemon.log , /var/log/messages e outros arquivos de log de modo de texto que podem existir dependendo da configuração do sistema; distribuições diferentes têm padrões diferentes a esse respeito.
Quando você faz algo através de uma conexão SSH existente, incluindo a abertura de um túnel ou uma conexão escrava, isso não requer nenhuma etapa de autenticação. Portanto, não há registro disso em /var/log/secure .
As entradas em /var/log/wtmp (e utmp ) registram a criação e a destruição de terminais, ou a atribuição e liberação de terminais para usuários. Assim, eles rastreiam apenas sessões interativas. Em algumas configurações, cada criação de um terminal por um emulador de terminal é registrada lá. Uma conexão SSH dispara o registro em utmp e wtmp se, e somente se, ele cria um terminal (ou seja, se você não passar um comando e, portanto, obter um shell interativo, ou se executar ssh -t ).