rsyslog現在不發光任何日誌

Question

我嘗試登錄在Debian 2.5 chroot的用戶訪問SFTP和操作按照本教程http://www.the-art-of-web.com/system/sftp-logging-chroot/

我不能讓它工作至今

/etc/rsyslog.d/sftp.conf

module(load="imuxsock") 
input(type="imuxsock" Socket="/var/ftp/userA/dev/log" CreatePath="on") 
input(type="imuxsock" Socket="/var/ftp/userB/dev/log" CreatePath="on") 

if $programname == 'internal-sftp' then /var/log/sftp.log 
& stop 

套接字（同樣爲用戶B）：

ls /var/ftp/userA/dev/ -lha 
total 8.0K 
drwxr-xr-x 2 root root 4.0K May 31 16:08 . 
drw-r-xr-x 4 root root 4.0K May 31 12:00 .. 
srw-rw-rw- 1 root root 0 May 31 16:08 log 

我把日誌文件777，以確保它不是一個權限問題

ls /var/log/sftp.log -lha 
-rwxrwxrwx 1 root root 0 May 31 14:50 /var/log/sftp.log 

的/ etc/SSH/sshd_config中

Subsystem sftp internal-sftp -l INFO -f AUTH 
Match Group ftpusers 
    ChrootDirectory %h 
    ForceCommand internal-sftp -u 0002 
    AllowTcpForwarding no 
    PermitTunnel no 
    X11Forwarding no 

然後

$sudo /etc/init.d/ssh restart 
[ ok ] Restarting ssh (via systemctl): ssh.service. 
$sudo /etc/init.d/rsyslog restart 
[ ok ] Restarting rsyslog (via systemctl): rsyslog.service. 

我無法找到任何有用in/var/log/messages和/ var/log/syslog

請大家幫忙!!

感謝

Answer 1

這顯然是錯誤的，它永遠不會爲真：

if $programname == 'internal-sftp' then /var/log/sftp.log 

的internal-sftp只是在sshd_config的佔位符。運行sftp服務器的實際程序仍然是sshd。

如果要區分sftp日誌，您將需要使用系統日誌工具（-f開關internal-sftp）做的，但我不知道這是否設置在Debian的支持（這個過程是在chroot環境讓你不可以訪問/dev/log中的日誌記錄套接字）。