我们用pam_tty它来记录用户输入的所有命令。我们感兴趣的是监控用户命令。
在 中audit.log,当我们对 进行 grep 时USER_TTY,会出现太多的日志记录。
以下是附加的日志截图:-
在该data=部分中,理想情况下应该有命令名称,但大多数日志都充满了一些数字,例如6364202F...。
似乎aureport --tty使用命令给出了正确的结果,但由于我们将文件发送audit.log到集中式日志服务器,因此很难仅搜索特定用户输入的命令。
答案1
我会运行ausearch -i它,然后将输出发送回您的集中日志服务器。它不仅会解码十六进制字符串(因为用户输入的命令中有空格),还会将auid(和其他)解释LNAME为其所属的适当字符串。
您可以利用 ausearch 的检查点功能仅向您的商店发送“新”事件。