.png)
type=TTY msg=audit(08/12/2020 02:33:30.163:107) : tty pid=2709 uid=e4ws5 auid=root ses=1 major=4 minor=1 comm=sh data="/bin/bash -i",<nl>
有人能告诉我这个 audit.log 中为什么有一个名为 data= 的字段,其中包含正在执行的命令,这是日志文件中的自定义配置还是默认配置。
答案1
审计日志类型终端电话通过启用以下 PAM 模块进行记录pam_tty_audit 配置文件 在/etc/pam.d/系统身份验证或者/etc/pam.d/密码验证审计登录 shell 用户活动。
数据字段包含在审计文件的正常输出中,而 *pam_tty_audit 配置文件已启用。
检查全部终端消息:
ausearch -m tty