Ubuntu 检查 SSH 登录日志

在 Ubuntu 上，SSH 登录日志存储在/var/log/auth.log文件中。您可以通过以下方式检查 SSH 登录日志：

sudo cat /var/log/auth.log | grep sshd

该命令将显示所有与 SSH 服务器建立的连接信息。例如：

Oct  9 10:48:13 ubuntu sshd[5607]: Accepted password for user from 127.0.0.1 port 50476 ssh2
Oct  9 10:50:08 ubuntu sshd[7623]: Failed password for root from 192.168.0.100 port 55051 ssh2
Oct  9 10:50:12 ubuntu sshd[7623]: Failed password for root from 192.168.0.100 port 55051 ssh2

您还可以查看所有成功登录的连接，使用以下命令：

sudo cat /var/log/auth.log | grep sshd | grep "Accepted password"

该命令只显示成功登录的连接（密码验证）：

Oct  9 10:48:13 ubuntu sshd[5607]: Accepted password for user from 127.0.0.1 port 50476 ssh2

如果要查看特定用户的 SSH 登录日志，可以使用以下命令：

sudo cat /var/log/auth.log | grep sshd | grep "Accepted password" | grep username

将username替换为您要查找登录尝试的用户名。例如：

sudo cat /var/log/auth.log | grep sshd | grep "Accepted password" | grep ubuntu

该命令将显示 Ubuntu 用户成功登录的所有连接（密码验证）：

Oct  9 10:48:13 ubuntu sshd[5607]: Accepted password for ubuntu from 127.0.0.1 port 50476 ssh2

如果想仅查看最近的 SSH 登录尝试，您可以运行以下命令：

sudo tail -f /var/log/auth.log | grep sshd

该命令将显示最后10条与 SSH 服务器的连接有关的信息。