Moin,
zu 1): der sshd logged seine Informationen mit auth.info bzw. auth.debug. In der Default-Installation von Solaris werden diese Meldungen nicht vom syslogd in einer Datei festgehalten. Ergo musst du die /etc/syslog.conf derart anpassen, dass du auth.debug (oder auth.info - je nachdem wie viel Messages du sehen moechtest) irgendo hinschreibst. Im einfachsten Fall am Ende ein "auth.debug /var/adm/messages" (wobei das mit einem TAB und nicht mit Space getrennt sein muss) und einmal ein "pkill -HUP syslogd" (oder "svcadm refresh system-log").
Der Unterschied zwischen /var/adm und /var/log ist eher historisch (in /var/adm sollten systemnahe Logs rein und in /var/log der Rest, also z.B. Applikationslogs).
zu 2): um Auditing erstmalig zu aktivieren ist eine Aenderung in der /etc/system mit nachfolgendem Reboot notwendig. Hierzu dient der Befehl "/etc/security/bsmconv" (siehe "man bsmconv"). Zusaetzlich musst du dann noch die Konfiguration deinen Beduerfnissen anpassen (also insbesondere audit_startup, audit_control und audit_user in /etc/security/). Siehe
http://docs.sun.com/app/docs/doc/816-4557/6maosrjog?a=view fuer mehr Informationen.
Der Return-Wert 98 ist in "man smf_method" als SMF_EXIT_MON_OFFLINE definiert und im Startup-Script /lib/svc/method/svc-auditd siehst du, dass das passiert, wenn "/usr/sbin/auditconfig -getconf" einen Fehler gibt (d.h. das System wurde nicht fuer Auditing via "bsmconv" vorbereitet).
Tschau,
Drusus.
Thema: Protokollierung ssh im messages (Gelesen 2903 mal)