Linuxサーバー[Oracle Linux 5x]でリモートログインイベントをキャプチャする方法を模索しています。多くのユーザーがrcpおよびrshプロトコルを使用してサーバーに接続しています。[ログ記録元のサーバー、unix id、rcpのファイル詳細など]イベントをキャプチャしたい
syslog.confで、次の詳細をキャプチャしています。local7。* / var / log / ftplogs authpriv。* / var / log / sftplog
施設がありませんか。
自問しなければならない質問:これらのイベントは、私のシステムの現在のログに表示されていますか?もしそうなら、syslogのどの手段でそこにたどり着きましたか?
—
ティンク
syslogログファイルでssh / ftp / scpイベントを取得できます。問題はrcpとrshのみにあります
—
-Balualways
ワイルドなアイデアの1つは、rcpおよびrshコマンドの名前を変更して、ロギングを実行してから実際のコマンドを呼び出すスクリプトに置き換えることです。
—
harrymc