ssh日誌記錄設置putty

1 修改/etc/ssh/sshd_config
將SyslogFacility AUTHPRIV改爲SyslogFacility local5
2 修改/etc/syslog.conf
添加如下兩行：
＃ save sshd messages also to sshd.log
local5.* /var/log/sshd.log
3 restart sshd and syslog
然後你可以使用ssh來登錄看看發現與sshd有關的信息都記錄到了sshd.log中。不在是messages。
順便貼一個相關的文章：
/etc/syslog.conf 文件使用下面的形式

facility.level action


空白行和以#開頭的行可以忽略。Facility.level 字段也被稱做 seletor。應該使用一次或多次 tab 鍵分隔 facility 和 action。大部分 Linux 使用這些空格爲分隔符。現在分析一下 /etc/syslog.conf 中的三個要素。

facility 指定 syslog 功能，主要包括以下這些：

auth 由 pam_pwdb 報告的認證活動。
authpriv 包括特權信息如用戶名在內的認證活動
cron 與 cron 和 at 有關的信息。
daemon 與 inetd 守護進程有關的信息。
kern 內核信息，首先通過 klogd 傳遞。
lpr 與打印服務有關的信息。
mail 與電子郵件有關的信息
mark syslog 內部功能用於生成時間戳
news 來自新聞服務器的信息
syslog 由 syslog 生成的信息
user 由用戶程序生成的信息
uucp 由 uucp 生成的信息
local0----local7 與自定義程序使用，例如使用 local5 做爲 ssh 功能
* 通配符代表除了 mark 以外的所有功能

與每個功能對應的優先級是按一定順序排列的，emerg 是最高級，其次是 alert，依次類推。缺省時，在 /etc/syslog.conf 記錄中指定的級別爲該級別和更高級別。如果希望使用確定的級別可以使用兩個運算符號！(不等)和=。

user.=info

表示告知 syslog 接受所有在 info 級別上的 user 功能信息。

syslog 級別如下:

emerg 或 panic 該系統不可用
alert 需要立即被修改的條件
crit 阻止某些工具或子系統功能實現的錯誤條件
err 阻止工具或某些子系統部分功能實現的錯誤條件
warning 預警信息
notice 具有重要性的普通條件
info 提供信息的消息
debug 不包含函數條件或問題的其他信息
none 沒有重要級，通常用於排錯
* 所有級別，除了none

action字段所表示的活動具有許多靈活性，特別是，可以使用名稱管道的作用是可以使 syslogd 生成後處理信息。

syslog 主要支持以下活動

file 指定文件的絕對路徑
terminal 或 print 完全的串行或並行設備標誌符
@host 遠程的日誌服務器
username 發送信息到使用 write 的指定用戶中
named pipe 指定使用 mkfifo 命令來創建的 FIFO 文件的絕對路徑。