[root@localhost log]# vim /etc/ssh/sshd_config

Subsystem       sftp    /usr/libexec/openssh/sftp-server -l INFO -f AUTH


[root@localhost log]# vim /etc/rsyslog.conf

auth,authpriv.*                                         /var/log/sftp.log



[root@localhost log]# service sshd restart
Redirecting to /bin/systemctl restart  sshd.service
[root@localhost log]# service rsyslog restart
Redirecting to /bin/systemctl restart  rsyslog.service
[root@localhost log]#



1.日志文件的格式
  基本的日志包括四列：
       a.事件产生的时间
       b.发生事件的服务器的主机名
       c.产生时间的服务名或程序名
       d.具体信息

2./etc/rsyslogd.conf 配置文件
     authpriv.*                                              /var/log/secure
   #服务名称[连接符号]日志等级 日志记录位置
   #认证相关.所有日志等级        记录在/var/log/secure日志中

服务名称说明auth安全和认证相关信息(不推荐使用authpriv替代)authpriv安全和认证相关信息(私有)cron系统定时任务cront和at产生的日志daemon和各个守护进程相关的日志ftpftp守护进程产生的日志kern内核产生的日志(不是用户进程产生的)local10-local7为本地使用预留的服务lpr打印产生的日志mail邮件收发信息news与新闻服务器相关的日志syslog有syslogd服务产生的日志信息,虽已改名为rsyslog,但是很多配置沿用sysloguser用户等级类别的日志信息uucpuucp子系统的日志信息

3.连接符号
a. " * " 代表所有日志等级，比如 : "authpriv. * "     代表authpriv认证信息服务产生的日志，所有的日志等级都记录
        b. " . " 代表只要比后面的等级高的（包含该等级）日志都记录下来。比如："cron.info" 代表cron服务产生的，只要日志等级大于等于info级别，就记录
        c. " .= "代表只记录所需要等级的日志，其他等级的都不记录，比如： " *.=emerg  " 代表人和日志服务产生的日志，只要等级是emerg就记录
        d. " .! " 代表不等于，也就是除了该等级的日志外，其他等级的日志都记录

4.日志等级
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
这里的 * 后面的info 就是日志级别
 
等级名称说明debug一般调试信息info基本信息通知notice基本信息，但有一定的重要性warnig警告信息，但不会影响系统和服务的运行err错误信息，一般到err级别可影响服务和系统的运行crit临界状况，比err等级还要高alert警告信息，比crit还严重，必须采取措施emerg疼痛级别信息，系统已经无法使用

5.日志记录位置        authpriv.*              /var/log/secure ( 下面是各种选项  可以保存，发到指定主机，或其他用户等。。。 )
     a.日志文件的绝对路径，如果 ”/var/log/secure"
     b.系统设备文件 ，如 "/dev/lp0"
     c.转发给远程主机，如 “@192.168.1.111:1111"
     d.用户名,如 "root ”
     e.忽略或丢弃日志，如 " ~ "