로그인 및 로그아웃 이벤트를 포함하여 SSH 세션을 모니터링하고 싶습니다. journalctl플래그 없이 실행하면 다음과 같은 두 로그인 이벤트가 모두 표시됩니다.
Accepted publickey for root from 192.168.1.24 port 56464
다음과 같은 로그아웃 이벤트도 있습니다.
Disconnected from user root 192.168.1.24 port 56464
sshd하지만 출력을 줄이고 내가 실행하는 이벤트 만 필터링하고 싶을 때는 journalctl -u sshd. 이 경우에는 Accepted publickey이벤트만 볼 수 있고 Disconnected from user이벤트는 볼 수 없습니다.
답변1
핵심요약: 대신 journalctl -u sshd에 를 사용해야 합니다 journalctl -t sshd.
이를 파악하기 위해 journalctl -o json-pretty로그인 및 로그아웃 이벤트를 실행하고 분석했습니다. 로그인 이벤트는 "_SYSTEMD_UNIT" : "sshd.service"JSON 출력에 포함되어 있으므로 로 단위를 지정할 때 표시됩니다 -u sshd. 그러나 로그아웃 이벤트에는 가 있으므로 "_SYSTEMD_UNIT" : "session-27.scope"에 대해서는 표시되지 않습니다 -u sshd. 물론 SSH 세션마다 세션 번호가 다릅니다.
무엇~이다로그아웃 및 로그인 이벤트 모두에 공통적으로 적용되는 점은 식별자를 지정하기 위해 플래그(또는 긴 형식 )를 "SYSLOG_IDENTIFIER" : "sshd"사용해야 함을 의미합니다 .-t--identifier
이것은 Fedora와 RHEL에 있습니다. 아직 Debian/Ubuntu에서는 테스트하지 않았습니다. 다른 부분이 있으면 댓글 부탁드립니다.
이것이 누군가에게 도움이 되기를 바랍니다.