SSH（Secure Shell）是 Linux 系统中最常用的远程管理协议之一。在服务器管理中，查看 SSH 日志是一项必备技能。通过分析日志，你可以监控登录活动、排查连接问题，甚至发现潜在的安全威胁。本文将深入讲解如何在 Linux 上查看 SSH 日志，从基础到进阶，一步步引导你掌握这一技能。

什么是 SSH 日志？

SSH 日志是系统记录的与 SSH 服务相关的所有活动的文件，包括：

1. 1. 成功和失败的登录尝试：谁试图登录系统，成功与否。
2. 2. 连接问题：如密码错误、密钥不匹配等原因。
3. 3. 潜在的攻击：如暴力破解尝试或异常活动。

SSH 日志的内容可以帮助管理员：

• ? 识别授权用户。
• ? 检测未经授权的访问。
• ? 排查 SSH 服务配置错误。

常见 SSH 日志文件位置

在不同的 Linux 发行版中，SSH 日志文件存储位置可能会略有不同。以下是常见路径：

1. 1. Debian/Ubuntu 系列：/var/log/auth.log
2. 2. RHEL/CentOS 系列：/var/log/secure
3. 3. 使用 systemd 的系统：journalctl 命令读取。

你可以通过以下命令验证 SSH 服务的日志位置：

sudo grep -i sshd /etc/rsyslog.conf

查看 SSH 日志的基础方法

1. 使用journalctl查看日志（针对 systemd 系统）

现代 Linux 发行版普遍使用 systemd，SSH 日志可以通过 journalctl 查看。

查看所有 SSH 日志

运行以下命令，获取与 SSH 服务相关的所有日志：

sudo journalctl -u ssh

按时间过滤日志

• ? 最近 5 分钟的日志：

sudo journalctl -u ssh --since -5m

• ? 最近 1 小时的日志：

sudo journalctl -u ssh --since -1h

• ? 过去 3 天的日志：

sudo journalctl -u ssh --since -3d

实时查看日志

你可以实时跟踪 SSH 活动：

sudo journalctl -fu ssh

按 Ctrl+C 退出实时查看。

2. 使用传统方法查看日志（针对非 systemd 系统）

查看/var/log/auth.log或/var/log/secure

在没有 systemd 的系统中，SSH 日志存储在文件中。使用以下命令读取：

# Debian/Ubuntu 系统
sudo grep sshd /var/log/auth.log

# RHEL/CentOS 系统
sudo grep sshd /var/log/secure

使用tail实时查看日志

如果你希望实时监控 SSH 日志：

sudo tail -f /var/log/auth.log

常用的日志分析工具和命令

1.grep提取关键字

grep 是分析日志的利器。以下是一些常用示例：

• ? 提取登录失败的记录：

sudo grep "Failed password" /var/log/auth.log

• ? 提取登录成功的记录：

sudo grep "Accepted" /var/log/auth.log

• ? 提取特定用户的登录活动：

sudo grep "username" /var/log/auth.log

2. 使用last查看历史登录记录

last 命令显示用户的登录历史：

last

3. 使用lastlog查看最近登录

lastlog 显示每个用户的最后一次登录：

lastlog

4. 使用w命令查看当前在线用户

w 显示当前活动用户和会话：

w

常见问题

为什么看不到特定登录尝试？

• ? 防火墙阻止了连接：检查防火墙日志。
• ? SSH 配置问题：确认 /etc/ssh/sshd_config 是否正确配置。

如何减少暴力破解尝试？

服务器暴露在公网时，可能面临大量 SSH 登录尝试。以下方法可以提升安全性：

• ? 使用 Fail2Ban：

自动封锁重复失败登录的 IP 地址。

sudo apt install fail2ban

• ? 更改默认端口：

在 /etc/ssh/sshd_config 中修改：

Port 2222

• ? 禁用密码登录，启用密钥认证：

修改 /etc/ssh/sshd_config：

PasswordAuthentication no