在此之前,我们可以跟踪OS X El Capitan中的所有SSH登录成功/失败。 当移动到OS Sierra时,似乎所有日志都被移动了,可以通过日志显示,日志流和系统日志进行查看。 我们无法通过查看这些日志来跟踪 SSH 进程的源 IP。例如:
Jun 27 15:38:47 MAC sshd: administrator [priv][240] <Notice>: USER_PROCESS: 243 ttys000
Jun 27 15:39:34 MAC sshd: administrator [priv][249] <Notice>: USER_PROCESS: 257 ttys001
Jun 27 15:42:50 MAC sshd: administrator [priv][249] <Notice>: DEAD_PROCESS: 257 ttys001
屏幕共享日志就像以前一样完美运行:
screensharingd: Authentication: SUCCEEDED :: User Name: administrator :: Viewer Address: 10.X.X.X :: Type: DH
虽然如果尝试失败,我们可以看到 sshd 的日志:
sshd: error: PAM: authentication error for administrator from 10.10.5.73
任何帮助将不胜感激。
谢谢。
尝试使用以下命令:
log stream --info --predicate 'processImagePath contains[c] "sshd"'
它将记录成功和失败的尝试。
我发现可以使用以下命令显示SSH日志:
log show --style JSON | grep "ssh"
此命令将显示源 IP 存储在 ram 中的 SSH 登录尝试。
log show --predicate 'process == "sshd"' --info | grep 'Info'