Ubuntu SSH怎样查看连接日志

Ubuntu系统查看SSH连接日志的常用方法

1. 通过/var/log/auth.log文件查看（传统方式）

Ubuntu的SSH连接日志主要存储在/var/log/auth.log文件中（包含认证成功/失败、连接尝试等详细信息）。可使用以下命令查看：

• 查看所有SSH相关日志：用grep过滤关键词sshd（SSH服务进程名），快速定位SSH相关条目。
  sudo grep "sshd" /var/log/auth.log
• 实时查看最新日志：使用tail -f命令实时跟踪日志更新，便于监控当前SSH连接活动（按Ctrl+C退出实时模式）。
  sudo tail -f /var/log/auth.log
• 查看完整日志文件：若需查看全部内容（不过滤），可直接读取auth.log。
  sudo cat /var/log/auth.log

2. 使用journalctl命令查看（systemd系统推荐）

现代Ubuntu系统（使用systemd作为初始化系统）可通过journalctl命令查看SSH服务的结构化日志，支持按时间、服务名过滤：

• 查看所有SSH服务日志：指定-u ssh参数（ssh为服务名，默认对应sshd），获取所有与SSH相关的日志条目。
  sudo journalctl -u ssh
• 过滤时间范围的日志：
  • 查看最近5分钟的日志：sudo journalctl -u ssh --since -5m
  • 查看过去1天的日志：sudo journalctl -u ssh --since -1d
• 实时跟踪SSH日志：添加-f参数实时查看日志更新（类似tail -f），按Ctrl+C退出。
  sudo journalctl -fu ssh

3. 常用日志过滤技巧（精准定位问题）

• 提取失败登录记录：通过grep过滤Failed password关键词，快速识别暴力破解尝试。
  sudo grep "Failed password" /var/log/auth.log
• 提取成功登录记录：过滤Accepted关键词，查看合法登录的用户和时间。
  sudo grep "Accepted" /var/log/auth.log
• 筛选特定用户的日志：将username替换为目标用户名，查看该用户的SSH活动。
  sudo grep "username" /var/log/auth.log

注意事项

• 查看系统日志需要管理员权限，所有命令需前缀sudo。
• 若/var/log/auth.log文件不存在，可能是日志轮转（如日志文件被压缩为.gz）或系统配置变更，可尝试sudo ls /var/log/auth*查找相关文件。
• 对于长期运行的服务器，建议定期备份或清理日志文件（如使用logrotate工具），避免占用过多磁盘空间。