wie man alle aufzeichnet, die sich bei meinen Linux-Rechnern anmelden, und sie aufzeichnet

1

Ich habe das Paket-Audit auf meinem Linux-Red-Hat 6.x-Computer installiert, um die wiederhergestellten Daten aller Benutzer anzuzeigen, die sich auf meinem Linux-Computer anmelden

yum install audit

Kit-Installation von: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-installing_the_audit_packages.html

nach der Installation und starten Sie den Audit-Service neu als

service auditd start

Ich verfolge die Datei audir.log, um die Benutzerdatensätze anzuzeigen

tail -f /var/log/audit/audit.log

Aber aus diesem Protokoll sehe ich nur die Benutzer-IPs und wenn er sich auf meinem Linux-Rechner anmeldet

Die Datensätze des Linux-Befehls, die der Benutzer ausgeführt hat, werden in der Datei audit.log nicht angezeigt

kann jemand raten, warum wir den Verlauf des Linux-Befehls nicht in audit.log sehen ?

Beispiel für audit.log

type=USER_START msg=audit(1422876162.936:152): user pid=28114 uid=0 auid=0 ses=74236 msg='op=PAM:session_open acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35        addr=10.1.113.35 terminal=ssh res=s'
type=USER_LOGIN msg=audit(1422876162.940:153): user pid=28116 uid=0 auid=0            ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35            addr=10.1.113.35     terminal=/dev/pts/1 res=success'
type=USER_START msg=audit(1422876162.940:154): user pid=28116 uid=0 auid=0 ses=74236 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=/dev/pts/1 res=success'
type=CRYPTO_KEY_USER msg=audit(1422876162.940:155): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=99:c8:56:79:64:17:0b:67:b5:6c:e9:36:22:8a:b1:88 direction=? spid=28116 suid=0 '
type=CRYPTO_KEY_USER msg=audit(1422876162.940:156): user pid=28116 uid=0 auid=0 ses=74236 msg='op=destroy kind=server fp=6f:b9:bf:4f:84:1f:58:e5:d2:1c:94:1f:11:8e:26:61 direction=? spid=28116 suid=0 '
type=CRED_REFR msg=audit(1422876162.940:157): user pid=28116 uid=0 auid=0 ses=74236 msg='op=PAM:setcred acct="root" exe="/usr/sbin/sshd" hostname=10.1.113.35 addr=10.1.113.35 terminal=ssh res=success'
  • Anmerkung: Falls dieses Tool die Aufzeichnungen der einzelnen Benutzer nicht verarbeiten kann, helfen Sie mir bitte, ein anderes Tool zu finden, das die Aufgabe erfüllt
linux security history auditd maihabunash
quelle
Dieser Link zeigt Ihnen, wie Sie ein Skript beim Abmelden ausführen. Sie können dies verwenden, um die Befehlsverlaufsdatei aufzuzeichnen, obwohl dies möglicherweise keine vollständige Lösung ist. Im Idealfall möchten Sie eine geänderte Shell, aber da Benutzer andere Shells aufrufen können, müssen Sie Änderungen an allen Shells des Systems vornehmen .
AFH
Ich habe die Prüfung der Linux-Shell gegoogelt und diese nützliche Zusammenfassung gefunden .
AFH