Ein wichtiges Mittel für Forensik sind Server-Logs. In OpenSSH ist in der Standardkonfiguration mit `Loglevel INFO` (Detailgrad der Logs) und `PrintLastLog Yes` (Anzeige des Zeitpunktes des letzten erfolgreichen Logins)  bereits wichtige Optionen standardmäßig gut konfiguriert.

# file: /etc/ssh/sshd_config
SyslogFacility AUTH
LogLevel INFO
PrintMotd no
PrintLastLog yes

Damit auf besonders schutzbedürftigen Systemen ein erfolgreicher Angreifer nicht in die Lage kommt, durch die Manipulation der Logdateien seine Spuren zu verwischen, kann in Betracht gezogen werden, die Logs separat, z.B. auf einem Protokollserver, zu sichern.


Eine automatisierte Auswertung der Logs ist empfohlen, um unautorisierte Authentifizierungsversuche so schnell wie möglich zu erkennen. Manchmal genügt schon das Basis-Tool `Logwatch`. Es wertet die Authentifizierungslogs aus und kann dessen Ergebnisse automatisiert per E-Mail verschicken. Die minimale Konfiguration von Logwatch umfasst das Setzen des Absenders (`mailFrom`). Weitere Einstellungen können gegebenenfalls den Standort des `caches`oder der Logdateien betreffen und in den Standardeinstellungen geändert werden. Die für Sicherheit relevanten Daten lassen sich danach schlussendlich mittels CRON-Job regelmäßig komfortabel zusenden.