Linux

Linux 審計文件(data=)

  • November 9, 2020

type=TTY msg=audit(08/12/2020 02:33:30.163:107) : tty pid=2709 uid=e4ws5 auid=root ses=1 major=4 minor=1 comm=sh data="/bin/bash -i",<nl>

誰能告訴我在此 audit.log 中如何有一個名為 data= 的欄位名稱,其中包含正在執行的命令,這是日誌文件中的自定義配置還是預設配置。

通過在**/etc/pam.d/system-auth/etc/pam.d/password-auth上啟用以下 PAM 模組pam_tty_audit.so來記錄審計日誌類型TTY**以審計登錄 shell 使用者活動。

當啟用* *pam_tty_audit.so時,*數據欄位包含在審計文件的正常輸出中。

檢查所有tty消息:

ausearch -m tty

引用自:https://serverfault.com/questions/1041767