在 Auditd 中捕获使用 SSH 远程执行的命令

在 Auditd 中捕获使用 SSH 远程执行的命令

我已经在 RHEL6 服务器中配置了 Auditd,并使用以下方式启用了 TTY 日志记录

pam_tty_audit.so enable=* 

在 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth 中

我没有在 audit.rules 文件中配置任何其他规则,因为我只对记录用户执行的命令感兴趣,而不是跟踪所有流程活动

我可以在此服务器本地看到用户执行的命令。但如果用户使用 SSH 从其他服务器远程执行命令,例如

ssh userid@<rhel server> date

这些命令未记录在审计日志中。有什么方法可以记录这些命令吗?

答案1

相关内容