Раньше мы могли отслеживать все входы в систему по SSH либо по успешности, либо по неудачам в OS X El Capitan. При перемещении в ОС Sierra кажется, что все журналы были перемещены, что можно просмотреть с помощью log show, потока журналов и системного журнала.
Мы не можем отслеживать исходный IP-адрес процесса SSH, просматривая эти журналы. например :
Jun 27 15:38:47 MAC sshd: administrator [priv][240] <Notice>: USER_PROCESS: 243 ttys000
Jun 27 15:39:34 MAC sshd: administrator [priv][249] <Notice>: USER_PROCESS: 257 ttys001
Jun 27 15:42:50 MAC sshd: administrator [priv][249] <Notice>: DEAD_PROCESS: 257 ttys001
Журналы совместного использования экрана работают так же, как и раньше:
screensharingd: Authentication: SUCCEEDED :: User Name: administrator :: Viewer Address: 10.X.X.X :: Type: DH
Хотя мы можем увидеть логи sshd, если попытка не удалась:
sshd: error: PAM: authentication error for administrator from 10.10.5.73
Любая помощь будет принята с благодарностью.
Большое спасибо.