Mac OS Sierra 日志显示缺少 SSH 源 IP
Mac OS Sierra log show missing SSH source IP
以前,我们可以在 OS X El Capitan 中跟踪所有 success/failure 的 SSH 登录。当移动到 OS Sierra 时,似乎所有的日志都被移动了,可以通过日志显示、日志流和系统日志查看。
我们无法通过查看这些日志来跟踪 SSH 进程的源 IP。例如:
Jun 27 15:38:47 MAC sshd: administrator [priv][240] <Notice>: USER_PROCESS: 243 ttys000
Jun 27 15:39:34 MAC sshd: administrator [priv][249] <Notice>: USER_PROCESS: 257 ttys001
Jun 27 15:42:50 MAC sshd: administrator [priv][249] <Notice>: DEAD_PROCESS: 257 ttys001
屏幕共享日志与以前一样完美:
screensharingd: Authentication: SUCCEEDED :: User Name: administrator :: Viewer Address: 10.X.X.X :: Type: DH
如果尝试失败,我们可以看到 sshd 的日志:
sshd: error: PAM: authentication error for administrator from 10.10.5.73
任何帮助将不胜感激。
非常感谢。
我发现可以使用此命令显示 SSH 日志:
log show --style JSON | grep "ssh"
尝试使用此命令:
log stream --info --predicate 'processImagePath contains[c] "sshd"'
它将记录成功和失败的尝试。
以前,我们可以在 OS X El Capitan 中跟踪所有 success/failure 的 SSH 登录。当移动到 OS Sierra 时,似乎所有的日志都被移动了,可以通过日志显示、日志流和系统日志查看。 我们无法通过查看这些日志来跟踪 SSH 进程的源 IP。例如:
Jun 27 15:38:47 MAC sshd: administrator [priv][240] <Notice>: USER_PROCESS: 243 ttys000
Jun 27 15:39:34 MAC sshd: administrator [priv][249] <Notice>: USER_PROCESS: 257 ttys001
Jun 27 15:42:50 MAC sshd: administrator [priv][249] <Notice>: DEAD_PROCESS: 257 ttys001
屏幕共享日志与以前一样完美:
screensharingd: Authentication: SUCCEEDED :: User Name: administrator :: Viewer Address: 10.X.X.X :: Type: DH
如果尝试失败,我们可以看到 sshd 的日志:
sshd: error: PAM: authentication error for administrator from 10.10.5.73
任何帮助将不胜感激。
非常感谢。
我发现可以使用此命令显示 SSH 日志:
log show --style JSON | grep "ssh"
尝试使用此命令:
log stream --info --predicate 'processImagePath contains[c] "sshd"'
它将记录成功和失败的尝试。