CentOS SSH日志在哪里查看

CentOS SSH日志默认位置及查看方法

1. 默认日志文件路径

CentOS系统中，SSH服务的日志主要存储在/var/log/secure文件中（适用于CentOS 7及以上版本）。该文件记录了SSH连接的所有关键事件，包括登录尝试（成功/失败）、认证错误、服务启动/停止等信息。

2. 常用查看命令

• 查看实时日志：使用tail -f命令可实时跟踪/var/log/secure文件的新增内容，便于监控当前SSH活动（按Ctrl+C停止实时查看）：

  sudo tail -f /var/log/secure
  

• 查看最近日志：通过tail -n指定行数，快速查看最近的SSH日志（例如查看最后50行）：

  sudo tail -n 50 /var/log/secure
  

• 过滤特定事件：使用grep命令筛选关键信息，例如：
  • 查找失败登录尝试（含IP地址、用户名）：

    sudo grep "Failed password" /var/log/secure
    

  • 查找成功登录记录（含登录用户、来源IP）：

    sudo grep "Accepted password" /var/log/secure
    

  • 查找特定IP的SSH活动（例如192.168.1.100）：

    sudo grep "192.168.1.100" /var/log/secure
    

3. 其他查看方式

• 使用journalctl命令：若系统使用systemd（CentOS 7及以上均支持），可通过journalctl查看SSH服务的日志（sshd为SSH服务名称）：
  • 查看实时SSH日志：sudo journalctl -u sshd -f
  • 查看特定时间段的日志（例如2025-10-01至2025-10-10）：sudo journalctl -u sshd --since "2025-10-01 00:00:00" --until "2025-10-10 23:59:59"

注意事项

• 权限要求：查看/var/log/secure文件需要root权限，因此所有命令需前缀sudo。
• 日志轮转：CentOS默认使用logrotate工具定期压缩、删除旧日志（默认保留7天），可通过/etc/logrotate.d/sshd文件调整轮转策略。