내 리눅스 컴퓨터에 로그인하는 각 사용자의 기록을보기 위해 Linux red-hat 6.x 컴퓨터에 패키지 감사를 설치했습니다.
yum install audit
설치 후 감사 서비스를 다음과 같이 다시 시작하십시오.
service auditd start
사용자 기록을 보려면 audir.log 파일을 따릅니다.
tail -f /var/log/audit/audit.log
하지만이 로그에서 사용자 IP 만 보았고 Linux 컴퓨터에 로그인 할 때
사용자가 수행 한 linux 명령의 레코드가 audit.log에 표시 되지 않습니다.
audit.log 에 linux 명령의 역사가 보이지 않는 이유는 무엇입니까?
audit.log의 예
type=USER_START msg=audit(1422876162.936:152): user pid=28114 uid=0 auid=0 ses=74236 msg='op=PAM:session_open acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=s'
type=USER_LOGIN msg=audit(1422876162.940:153): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success'
type=USER_START msg=audit(1422876162.940:154): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success'
type=CRYPTO_KEY_USER msg=audit(1422876162.940:155): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=99:c8:56:79:64:17:0b:67:b5:6c:e9:36:22:8a:b1:88 direction=? spid=28116 suid=0 '
type=CRYPTO_KEY_USER msg=audit(1422876162.940:156): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=6f:b9:bf:4f:84:1f:58:e5:d2:1c:94:1f:11:8e:26:61 direction=? spid=28116 suid=0 '
type=CRED_REFR msg=audit(1422876162.940:157): user pid=28116 uid=0 auid=0 ses=74236 msg='op=PAM:setcred acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=success'
- 이 도구 감사가 각 사용자의 레코드를 수행 할 수없는 경우에 대비하십시오. 작업을 수행 할 수있는 다른 도구를 찾도록 도와주세요.
이 링크 는 로그 아웃시 스크립트를 실행하는 방법을 보여줍니다. 이 명령을 사용하여 명령 기록 파일을 기록 할 수는 있지만 완전한 해결책은 아닙니다. 이상적으로는 수정 된 쉘을 원하지만 사용자가 다른 쉘을 호출 할 수 있으므로 시스템의 모든 쉘을 수정해야 합니다.
—
AFH
나는 리눅스 쉘 감사를 구글 검색 하고이 유용한 요약을 찾았습니다 .
—
AFH