我正在寻找记录传出 ssh 会话的连接/断开连接。这是auditd 可以做的事情吗?我可以通过出站连接的auditbeat获取日志,但棘手的部分是跟踪会话何时断开连接。
我什至尝试过使用 ss 并通过 filebeat 每 1 秒解析一次,因为 ss 有一个用于连接状态的字段,但状态仅显示已建立。
我想要的示例输出是:
时间戳 192.168.1.200:22 已连接
时间戳 192.168.1.200:22 已断开连接
答案1
经过一番研究后发现它可以工作。对于其他想知道如何做到这一点的人来说,这里是:
iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "Connection established: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags FIN FIN -j LOG --log-prefix "Connection closed: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags RST RST -j LOG --log-prefix "Connection closed: "