Как регистрировать все события, которые произошли с помощью сеанса SSH?

Вопрос : на примере: Linux или AIX-машина, как мы можем регистрировать вещи, которые произошли с помощью ssh? например: пользователь вошел в систему, выделил несколько команд или автоматизированный инструмент выполнил что-то через ssh или кто-то просто выпустил команду «ssh root @ server commandhere»?

  • Перенаправить вывод программы в файл с лимитом номера строки
  • почему utmp, wtmp и btmp называются такими, какие они есть?
  • Форматировать журналы, чтобы добавить некоторые строки, только если есть ошибка
  • Keepalived - возможно ли изменить каталог файла журнала?
  • Есть ли способ узнать, произошел ли перерыв в сети из журналов?
  • Сохранять и очищать журналы событий и безопасности
  • 1 (su, sudo), он наводняет записи в / var / log / messages
  • Как очистить файл журнала?
  • 2 Solutions collect form web for “Как регистрировать все события, которые произошли с помощью сеанса SSH?”

    AIX имеет это место для оболочки ksh по умолчанию, файлы создаются в каждом пользовательском homedir с именем .sh_history

    Мне всегда нравится добавлять переменную оболочки EXTENDED_HISTORY=ON (например, экспортировать ее в /etc/profile )

    Теперь вы можете просмотреть историю с history -t или fc -t .

    Имейте в виду, что файл истории создается только в том случае, если запущена интерактивная оболочка, поэтому я не совсем уверен, что команды из сценариев регистрируются здесь.

    Если вам действительно нужно иметь этот журнал, и больше я бы советовал проверить реестр книг IBM Auditing и Accounting или пойти с такими инструментами, как tripwire .

    Команда sudo поставляется с возможностью проверки и повторного сеанса воспроизведения. В то время как большинство людей используют sudo для выполнения команд как root , вы можете определить простое правило, которое позволяет пользователям только sudo для себя (например, ничего, что они уже не могли сделать!)

    Используя sudosh в качестве оболочки входа пользователя, вы можете обеспечить, чтобы все было зарегистрировано ( stdin , stdout , stderr и т. Д.). Это касается как интерактивных, так и неинтерактивных оболочек и журналов абсолютно все – даже то, что появляется внутри редактора, такого как vim .

    Используя команду sudoreplay , вы можете просмотреть сеансовые транскрипты. Он даже воспроизводит журналы, где пользователь вводит интерактивную программу, такую ​​как vim .

    Включение журналов аудита sudo сессий очень просто.

    Добавьте это в /etc/sudoers.d/sudosh

     Defaults log_output Defaults!/usr/bin/sudoreplay !log_output Defaults!/sbin/reboot !log_output 

    Чтобы пользователи могли использовать sudo для себя, добавьте строку, подобную этой, в файл, например /etc/sudoers.d/sudosh.osterman :

     osterman ALL=(osterman) ALL 

    Затем, чтобы принудительно выполнить сеанс пользователя (например, osterman ), запустите:

     chsh -s /usr/bin/sudosh osterman 

    Скачайте sudosh здесь . Предполагается, что вы уже установили sudo .

    Linux и Unix - лучшая ОС в мире.