在Linux系统中,syslog是一个用于记录系统消息的守护进程。要记录用户登录信息,你需要配置syslog以捕获相关的事件。以下是如何实现这一目标的步骤:
/etc/syslog.conf或/etc/rsyslog.conf。使用文本编辑器打开它,例如使用nano:sudo nano /etc/rsyslog.conf
#auth,authpriv.* /var/log/auth.log
这一行表示auth和authpriv相关的日志将被记录到/var/log/auth.log文件中。取消注释(删除行首的#符号)以启用此功能。
source s_auth { internal; };
destination d_auth { file("/var/log/auth.log"); };
log { source(s_auth); destination(d_auth); filter(authpriv); };
确保这些行没有被注释掉。
保存并关闭配置文件。
重启syslog服务以应用更改。对于使用systemd的系统(如Ubuntu 16.04及更高版本),使用以下命令:
sudo systemctl restart rsyslog
对于使用SysVinit的系统(如较旧的Ubuntu版本),使用以下命令:
sudo service rsyslog restart
现在,syslog将记录用户登录信息到/var/log/auth.log文件中。你可以使用以下命令查看登录信息:
cat /var/log/auth.log
或者使用grep命令搜索特定事件,例如:
grep "sshd" /var/log/auth.log