[gelöst] internal-sftp Logging funktioniert nicht richtig

[lui0r]

Hallo zusammen,

ich habe auf meinem debian 11 Server einen sftp konfig. (sshd_config)welcher tadellos funktioniert.

Code: Alles auswählen

Subsystem sftp internal-sftp -f LOCAL3 -l INFO
Match group ftpaccess
        ChrootDirectory %h
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp -f LOCAL3 -l INFO

Bestimmte Akionen möchte ich für bestimmte User loggen:

/etc/rsyslog.d/sftp.conf

Code: Alles auswählen

# create additional sockets for the sftp chrooted users

LOCAL3.* /var/log/sftp.log
#
# log internal-sftp activity to sftp.log
if $programname == 'internal-sftp' and ($msg contains 'open ' or $msg contains 'close ' or $msg contains 'opened' or $msg contains 'remove') then /var/log/sftp.log
& stop

#module(load="imuxsock")
input(type="imuxsock" Socket="/ftp/XXXXXX/dev/log" CreatePath="on")
input(type="imuxsock" Socket="/ftp/XXXXXX/dev/log" CreatePath="on")

Das klappt auch wunderbar, in das Logfile kommen genau die Informationen die ich sehen will. Allerdings wird zeitgleich alles (also ohn Filter!) in auth.log geloggt. Mein Verständnis war durch Angabe der Logfacility in sshd_conf (siehe oben) wird genau das verhindert. Das sind nun mal eben ca. 2 GB pro Stunde. Wie kann ich das unterbinden?

Danke und Grüße

Lui

[lui0r]

Gelöst, hatte folgendes vergessen

Code: Alles auswählen

if $programname == 'internal-sftp' then stop