Ich versuche zu sehen, welche Befehle in meinem Terminal und seriellen Port eingegeben werden. Dafür benutze ich den auditedd-Daemon, der mir beim Auditing von Dateien hilft.Auditing Gerätedateien mit Auditcl Daemon
Ich dachte an eine Erstellung von Audit-Regeln auf/dev/tty und/dev/ttyAMA0, um zu sehen, was auf dem Terminal bzw. dem seriellen Gerät geschieht.
auditctl -w /dev/tty -p rwx -k terminal
auditctl -w /dev/ttyAMA0 -p rwx -k serialport
Aber diese Aufzeichnungen nur das Echo auf tty. Ich kann alle auf dem Terminal eingegebenen Befehle nicht überwachen. Ich habe es tty aktiviert, die PAM-Datei auch einzuloggen, indem ich in der Datei /etc/pam.d/sshd hinzufüge.
Gibt es eine andere Möglichkeit, dieses Auditing durchzuführen? Ich möchte den auditedd-Daemon nur so verwenden, dass sich mein gesamtes Überwachungsprotokoll in einer Datei befindet.
Ich habe dies durch 'reactionctl -a beenden, immer -F eud = 0 -S Execve ', aber es protokolliert alle Systemaufrufe. Gibt es trotzdem Filter? – user2314946