我正在尝试查看在终端和串口中输入的命令。为此,我使用的是auditd守护程序,它可以帮助我审核文件。
我想到了在/ dev / tty和/ dev / ttyAMA0上创建审计规则,以便分别查看终端和串行设备上发生的事情。
auditctl -w /dev/tty -p rwx -k terminal
auditctl -w /dev/ttyAMA0 -p rwx -k serialport
但是这只记录了tty上的回声。我无法审核终端上输入的所有命令。我通过在/etc/pam.d/sshd文件中添加session required pam_tty_audit.so enable=*来启用tty登录PAM文件。
还有其他方法可以执行此审核。我只想使用auditd守护进程,以便我的所有审核日志都在一个文件中。
答案 0 :(得分:0)
auditctl -a exit,always -S execve为我做了这份工作。但它创建了太多日志,因此想出如何删除后台进程创建的日志