Im Gegensatz zu Linux-Systemen erfolgt die (Ereignis-) Protokollierung des OpenSSH-Servers bzw. des OpenSSH-Dienstes nicht in einer textbasierenden (Log-) Datei sondern in der Ereignisanzeige von Windows. Dabei werden die Ereigniskategorien "CRITICAL" (kritisch) und "ERROR" (Fehler) im Protokoll "Admin", die Kategorie "INFO" (Information) im Protokoll "Operational" und die Kategorie "DEBUG1", "DEBUG2" und "DEBUG3" im Protokoll "Debug" unter "OpenSSH" gespeichert. Damit das Debug-Protokoll angezeigt wird, müssen folgendende Einstellungen vorgenommen werden:

• In der Konfigurationsdatei "ssh_config" muss der Debug-Stufe (LogLevel) angegeben sein.
• Die Option "Analytische und Debugprotokolle einblenden" unter "Ansicht" (Ereignisanzeige) muss aktiviert sein.
• Die OpenSSH-Debug-Protokollierung (Ereignisanzeige) muss aktiv sein (rechte Maustaste auf das Debug-Protokoll und dann "Protokoll aktivieren").

Es besteht aber auch noch die Möglichkeit der Aktivierung der textbasierenden OpenSSH-Protokollierung. Je nach Protokollierungsstufe werden die entsprechenden Daten / Meldungen unter "%programdata%\ssh\logs\sshd.log" abgespeichert (z. B. für schnelle und einfache Fehleranalyse).

So geht's:

• Konfigurationsdatei ändern:
  • Öffnen Sie die Datei "%programdata%/ssh/sshd_config" in einem Texteditor (z. B. "Notepad.exe") mit administrativen Rechten.
  • Suchen Sie nach der Zeile die den Text "SyslogFacility" (z. B. "SyslogFacility AUTH") enthält. Sollte die Zeile nicht vorhanden sein, dann müssen Sie diese neu anlegen.
  • Tragen oder ändern Sie nach dem Text "SyslogFacility" und durch ein Leerzeichen getrennt den Text "LOCAL0" ein. Z. B.: "SyslogFacility LOCAL0".
  • Entfernen Sie ggf. am Zeilenanfang das Raute-Zeichen ("#").
  • Suchen Sie nach der Zeile die den Text "LogLevel" (z. B. "LogLevel INFO") enthält. Sollte die Zeile nicht vorhanden sein, dann müssen Sie diese neu anlegen.
  • Tragen oder ändern Sie nach dem Text "LogLevel" und durch ein Leerzeichen getrennt die Stufe der Protokollierung ein (siehe Tabelle). Z. B.: "LogLevel DEBUG3".
  • Entfernen Sie ggf. am Zeilenanfang das Raute-Zeichen ("#").
  • Speichern Sie die Datei "%programdata%/ssh/sshd_config" ab.
• SSH-Server neu starten:
  • "Start" > ("Alle") bzw. ("Windows-System") > "Eingabeaufforderung" bzw. "Windows Terminal" (oder "cmd.exe" starten)
  • Geben Sie als Befehl "net stop sshd" und drücken die Eingabetaste.
  • Der OpenSSH-Server bzw. OpenSSH-Dienst wird beendet.
  • Geben Sie als Befehl "net start sshd" und drücken die Eingabetaste.
  • Der OpenSSH-Sever bzw. OpenSSH-Dienst wird gestartet.
  • Die entsprechenden Ereignisse werden unter "%programdata%\ssh\logs\sshd.log" abgespeichert.

Tabelle der Nachrichtentypen (SyslogFacility):

Tabelle der Protokollierungsstufen (LogLevel):

Hinweise:

• Für die Protokoll-Änderung (Konfigurationsdatei) und dem SSH-Server-Neustart werden erweiterte administrative Rechte benötigt. Hierzu klicken Sie mit der rechten Maustaste auf die Programmverknüpfung oder direkt auf das Programm (EXE-Datei) und wählen im Kontextmenü den Punkt "Als Administrator ausführen" aus.
• Im Gegensatz zu Linux wird bei der Option "SyslogFacility" der Konfigurationsdatei nur der Wert "LOCAL0" für die Änderung der Protokollierung (Logdatei oder Ereignisanzeige) berücksichtigt. Bei allen anderen Angaben erfolgt die Protokollierung in der Ereignisanzeige.

Versionshinweis:

• Der OpenSSH-Server steht erst ab Windows 10 Version 1809 zur Verfügung.

Querverweis:

• OpenSSH-Server / OpenSSH-Dienst aktivieren / installieren (ab Version 1809)