No CentOS 6, /var/log/secure
contém a saída do sshd, que inicia o subsistema sftp. Por padrão, você verá mensagens semelhantes às seguintes, mas não muito mais:
Feb 25 12:34:56 server sshd[1234]: Accepted password for user from 1.2.3.4 port 12345 ssh2
Feb 25 12:34:56 server sshd[1234]: pam_unix(sshd:session): session opened for user user by (uid=0)
Feb 25 12:34:57 server sshd[1234]: subsystem request for sftp
Se você quiser ter mais visibilidade das ações do sftp, como quais arquivos foram transferidos, modifique a seguinte linha em /etc/ssh/sshd_config
:
Subsystem sftp /usr/libexec/openssh/sftp-server
para ser
Subsystem sftp /usr/libexec/openssh/sftp-server -f AUTHPRIV -l INFO
e, em seguida, reinicie o sshd:
# service sshd restart
Em seguida, você terá os registros padrão e os registros, como os seguintes:
Feb 25 12:34:56 server sftp-server[1234]: session opened for local user user from 1.2.3.4
Feb 25 12:34:56 server sftp-server[1234]: opendir "/home/user/"
Feb 25 12:34:56 server sftp-server[1234]: closedir "/home/user/"
Feb 25 12:34:56 server sftp-server[1234]: open "/home/user/test" flags READ mode 0666
Feb 25 12:34:56 server sftp-server[1234]: close "/home/user/test" bytes read 1234 written 0
Feb 25 12:34:56 server sftp-server[1234]: session closed for local user user from 1.2.3.4