在此之前,我们可以在OS X El Capitan中跟踪所有SSH登录成功与否。当移动到OS Sierra时,似乎所有日志都已移动,可以通过日志显示,日志流和syslog查看。 通过查看这些日志,我们无法跟踪SSH进程的源IP。例如:
Jun 27 15:38:47 TORO-M sshd: administrator [priv][240] <Notice>: USER_PROCESS: 243 ttys000
Jun 27 15:39:34 TORO-M sshd: administrator [priv][249] <Notice>: USER_PROCESS: 257 ttys001
Jun 27 15:42:50 TORO-M sshd: administrator [priv][249] <Notice>: DEAD_PROCESS: 257 ttys001
屏幕共享日志可以像以前一样完美运行:
screensharingd: Authentication: SUCCEEDED :: User Name: administrator :: Viewer Address: 10.X.X.X :: Type: DH
尽管如果尝试失败,我们可以看到sshd的日志:
sshd: error: PAM: authentication error for administrator from 10.10.5.73
任何帮助将不胜感激。
非常感谢。
答案 0 :(得分:1)
尝试使用此命令:
log stream --info --predicate 'processImagePath contains[c] "sshd"'
它将记录成功和失败的尝试。
答案 1 :(得分:0)
我发现可以使用以下命令显示SSH日志:
log show --style JSON | grep "ssh"