Donde están los log`s del servidor SSH en Debian 12
Donde están mis log del servidor SSH ?. Pues bien desde Debian 12, ya no se generan automáticamente como en versiones anteriores en /var/log/auth.log. Ahora el sistema utiliza systemd‑journald como gestor de logs. Pero no desesperes vamos a ver como hacerlo con unos simples pasos.
🛠️ Pasos para habilitar /var/log/auth.log en Debian 12 y posteriores.
1. Instalar rsyslog
apt install rsyslog2. Configurar el servidor SSH para loguear
Editamos /etc/ssh/sshd_config y revisamos las lienas:
SyslogFacility AUTH
LogLevel INFO
En el parámetro “LogLevel” podemos utilizar el que necesitemos “INFO” u otro como por ejemplo:
LogLevel VERBOSE
" VERBOSE " en el caso de necesitar mas detalle.
Reiniciamos el servidor SSH para aplicar la configuración:
systemctl restart sshd3. Comprobamos que rsyslog esté activo
systemctl status rsyslog4. Activamos el arranque del servicio con el sistema
systemctl enable rsyslog --nowSi el archivo no existe, rsyslog lo creará con los permisos adecuados al iniciar
5. (Opcional) Desactivar duplicación con journalctl
Si no necesitas almacenamiento duplicado en disco, puedes eliminar /var/log/journal y permitir que solo se registre mediante archivos tradicionales:
rm -rf /var/log/journal✅ Resumen paso a paso
apt install rsyslog
sed -i 's/#\(SyslogFacility AUTH\)/\1/' /etc/ssh/sshd_config
sed -i 's/#LogLevel INFO/LogLevel INFO/' /etc/ssh/sshd_config
systemctl restart sshd
systemctl enable --now rsyslogCon esto, /var/log/auth.log comenzará a registrar los eventos SSH, incluidos accesos aceptados, fallidos, sesiones abiertas y cerradas, etc. Como ocurría en versiones anteriores de Debian. L información que se registre depende del parámetro “LogLevel” indicado en la configuración de servidor SSH.
