用auditd记录SFTP活动

Question

我目前正在使用auditd将SSH的用户的TTY活动记录到我的系统中。但是，SFTP会话不会以这种方式记录。是否有一种使用auditd记录它们的方法，或者我需要为SFTP使用一个单独的记录器？

Answer 1

您可以记录SFTP会话/活动(例如下面的例子)，但是日志消息将被写入/var/ log /messages。

我不知道在此之后是否可以将auditd配置为“扫描”/var/log/messages文件，但如下所示：

vi /etc/ssh/sshd_conf

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# Change this to 
Subsystem       sftp    /usr/libexec/openssh/sftp-server -f AUTH -l INFO

service sshd restart

信息日志级别提供了有关文件传输、权限更改等的详细信息。如果需要更多信息，可以使用:安静、致命、错误、信息、详细、调试、DEBUG1、DEBUG2和DEBUG3。