まずは、認証に関連するログファイル「/var/log/auth.log」、カーネル関連のログファイル「/var/log/kern.log」、システム関連のログファイル「/var/log/syslog」など、rsyslogで出力されるログファイルを開いて中身を見てみましょう。次のように「tail」コマンドを使って、ログファイルの下から10行を表示してみるのがよいでしょう。
|
1 2 3 4 5 6 7 8 9 10 11 |
$ tail /var/log/auth.log Sep 19 10:44:54 shmag1 sudo: pam_unix(sudo:session): session opened for user root by taro(uid=0) Sep 19 10:45:07 shmag1 sudo: pam_unix(sudo:session): session closed for user root Sep 19 10:45:13 shmag1 sudo: taro : TTY=tty1 ; PWD=/home/taro ; USER=root ; COMMAND=/usr/bin/apt upgrade Sep 19 10:45:13 shmag1 sudo: pam_unix(sudo:session): session opened for user root by taro(uid=0) Sep 19 10:45:13 shmag1 sudo: pam_unix(sudo:session): session closed for user root Sep 19 10:45:23 shmag1 sshd[1643]: Accepted password for taro from 192.168.10.12 port 50334 ssh2 Sep 19 10:45:23 shmag1 sshd[1643]: pam_unix(sshd:session): session opened for user taro by (uid=0) Sep 19 10:45:23 shmag1 systemd-logind[1028]: New session 2 of user taro. Sep 19 10:47:14 shmag1 login[1310]: pam_unix(login:session): session closed for user taro Sep 19 10:47:14 shmag1 systemd-logind[1028]: Removed session 1. |
いずれのログファイルも同じようなフォーマットでメッセージが書き込まれています。このメッセージは、rsyslogの常駐プログラム(デーモン)である「rsyslogd」の内部で生成されています。初期状態では、
月 日 時:分:秒 ホスト名 実行プログラム名[プロセスID]:メッセージ
のようなフォーマットになっています。