Как измениться, ssh регистрируют местоположение от/var/log/secure до пользовательского местоположения в rhel 6?
POSIXly, с помощью grep с -E опция:
find /var/www/http -type f -exec grep -iE 'STRING1|STRING2' /dev/null {} +
Или -e:
find /var/www/http -type f -exec grep -i -e 'STRING' -e 'STRING2' /dev/null {} +
С некоторыми реализациями, по крайней мере, в системах GNU, OSX и FreeBSD, можно выйти |:
find /var/www/http -type f -exec grep -i 'STRING1\|STRING2' /dev/null {} +
Выберите неиспользуемый местный объект. Например, local3 не используется ни для каких журналов в вашей системе. Итак, сначала отредактируйте файл конфигурации / etc / sshd_config .
#SyslogFacility AUTH
SyslogFacility local3
Теперь настройте rsyslog для записи журналов local3 в нужный вам файл. Добавьте следующее в ваш /etc/rsyslog.conf .
#Logging sshd to another file. Using local3 facility.
local3.* /SOME/PATH/YOU/WANT/YOUR/SSHD/LOGS/TO-BE.log
Где /SOME/PATH/YOU/WANT/YOUR/SSHD/LOGS/TO-BE.log , конечно, следует заменить на расположение файла, в который вы хотите перенаправить журналы sshd, разумно я надеюсь, что это может быть /var/log/sshd.log .
Затем, как обычно, перезапустите службу:
service rsyslogd restart
Вам необходимо изменить/добавить следующую строку в файл /etc/rsyslog.conf:
authpriv.* /var/log/custom_secure
и перезапустить демон rsyslog (service rsyslogd restart).
Вы также можете выделить журнал sshd в другой файл.
Добавить эту строку к/etc/rsyslog.conf:
:programname, isequal, "sshd" /var/log/sshd.log
Обратите внимание, что журнал sshd будет записываться как в /var/log/secure, так и в /var/log/sshd.log, но таким образом мы можем изолировать sshd в другой файл (без polkitd, без sudo и т. д.)