📅  最后修改于: 2023-12-03 15:35:26.548000             🧑  作者: Mango
在 Ubuntu 上,SSH 登录日志存储在/var/log/auth.log
文件中。您可以通过以下方式检查 SSH 登录日志:
sudo cat /var/log/auth.log | grep sshd
该命令将显示所有与 SSH 服务器建立的连接信息。例如:
Oct 9 10:48:13 ubuntu sshd[5607]: Accepted password for user from 127.0.0.1 port 50476 ssh2
Oct 9 10:50:08 ubuntu sshd[7623]: Failed password for root from 192.168.0.100 port 55051 ssh2
Oct 9 10:50:12 ubuntu sshd[7623]: Failed password for root from 192.168.0.100 port 55051 ssh2
您还可以查看所有成功登录的连接,使用以下命令:
sudo cat /var/log/auth.log | grep sshd | grep "Accepted password"
该命令只显示成功登录的连接(密码验证):
Oct 9 10:48:13 ubuntu sshd[5607]: Accepted password for user from 127.0.0.1 port 50476 ssh2
如果要查看特定用户的 SSH 登录日志,可以使用以下命令:
sudo cat /var/log/auth.log | grep sshd | grep "Accepted password" | grep username
将username
替换为您要查找登录尝试的用户名。例如:
sudo cat /var/log/auth.log | grep sshd | grep "Accepted password" | grep ubuntu
该命令将显示 Ubuntu 用户成功登录的所有连接(密码验证):
Oct 9 10:48:13 ubuntu sshd[5607]: Accepted password for ubuntu from 127.0.0.1 port 50476 ssh2
如果想仅查看最近的 SSH 登录尝试,您可以运行以下命令:
sudo tail -f /var/log/auth.log | grep sshd
该命令将显示最后10条与 SSH 服务器的连接有关的信息。