Solusi 1:
Catatan login biasanya ada di /var/log/secure. Menurut saya, tidak ada log khusus untuk proses daemon SSH, kecuali jika Anda memecahkannya dari pesan syslog lainnya.
Solusi 2:
Selain jawaban @john, beberapa distribusi sekarang menggunakan journalctl secara default. Jika itu kasus Anda, Anda mungkin dapat melihat sshd aktivitas melalui:
_> journalctl _COMM=sshd
Anda akan melihat output seperti ini:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
Solusi 3:
Log sebenarnya terletak di /var/log/secure pada sistem RHEL. Sambungan SSHD akan terlihat seperti ini;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
Bagian terpenting untuk menentukan apakah akun Anda telah disusupi atau tidak adalah Alamat IP.
Dampak kinerja dari menjalankan sistem file yang berbeda pada satu server Linux
Penautan Simbol Linux tidak berfungsi seperti yang diharapkan