arch linux修改ssh登陆日志位置

不如直接问GPT

在 Arch Linux 上，默认情况下，系统日志是使用 systemd-journald 进程进行管理的，而不是传统的 syslog。因此，你无法在 /var/log 目录中找到像 auth.log 这样的传统日志文件。

要将特定日志消息分离到单独的文件中，你可以使用 systemd-journald 的过滤功能。下面是一种将特定日志消息写入单独文件的方法：

1. 创建一个新的日志文件，例如 /var/log/auth.log：

   sudo touch /var/log/auth.log
   

2. 编辑 /etc/systemd/journald.conf 文件：

   sudo nano /etc/systemd/journald.conf
   

3. 在文件中添加以下行：

   [Journal]
   # 将 auth 日志消息写入单独的文件
   SystemMaxUse=10M
   SystemMaxFileSize=10M
   ForwardToSyslog=no
   ForwardToKMsg=no
   ForwardToConsole=no
   ForwardToWall=no
   MaxRetentionSec=1week
   MaxFileSec=1week
   SyncIntervalSec=5m
   Storage=persistent
   Compress=yes
   SystemMaxFiles=7
   SystemKeepFree=50M
   RuntimeMaxUse=10M
   RuntimeMaxFileSize=10M
   RuntimeMaxFiles=7
   RuntimeKeepFree=50M
   # 过滤 auth 日志消息
   [Journal]
   SystemFilter=auth
   SystemFilter=authpriv
   SystemFilter=sudo
   SystemFilter=su
   SystemFilter=login
   SystemFilter=systemd-logind
   SystemFilter=polkitd
   SystemFilter=sshd
   # 将 auth 日志消息写入单独的文件
   SystemLogIdentifier=auth
   ForwardToWall=no
   ForwardToSyslog=no
   

   这将配置 systemd-journald 将特定的日志消息过滤到 /var/log/auth.log 文件中。

4. 保存文件并关闭编辑器。

5. 重新启动 systemd-journald 服务以使更改生效：

   sudo systemctl restart systemd-journald
   

现在，特定的日志消息将被过滤到 /var/log/auth.log 文件中。你可以使用常规的日志工具（如 tail 或 cat）查看该文件的内容。

请注意，这只是一种将特定日志消息写入单独文件的方法。如果你需要更复杂的日志管理需求，你可能需要使用其他工具，如 rsyslog 或 syslog-ng，来实现更高级的日志过滤和分离功能。

@Tony #1
感谢，但完全没用

archlinux 还真没用过，一直用的debian 或者 alma

但凡你百度一下，都不会發这种提问。

last searches back through the /var/log/wtmp file and displays a list of all users logged in...

lastb is the same as last, except that by default it shows a log of the /var/log/btmp file, which contains all the bad login attempts....