Debian系統的SSH日志主要存放在/var/log/auth.log文件中����,查看方式如下:
- 查看全部日志:
sudo cat /var/log/auth.log | grep sshd
- 實時監控日志:
sudo tail -f /var/log/auth.log | grep sshd
- 按時間篩選日志(如最近1小時):
sudo journalctl -u ssh --since -1h
- 分析特定內容(如登錄失敗IP):
sudo grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c
以上命令需使用sudo提升權限��,部分命令可結合awk����、sort等工具進一步分析日志內容���。
