Вопросы Теги

Как можно зарегистрировать каждую введенную команду

du является использованием диска, и это считает ту сумму диска выделенной файлу. Минимальный "размер блока" (т.е. минимальный блок, выделенный файлу), обычно 4k. Таким образом, файловая система рассчитывает в блоках 4k, не du.

Это рассчитало бы в блоках 1k при форматировании диска следующим образом:

mke2fs -b 1024 /dev/XXX
24
08.08.2013, 19:14
2 ответа

Выезд auditd. Если Вы добавляете 

-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve

кому: /etc/audit/audit.rules каждый выполняемые команды будут зарегистрированы. См.: http://whmcr.com/2011/10/14/auditd-logging-all-commands/

Затем отправьте его на сервер системного журнала.

29
27.01.2020, 19:41
  • 1
    Конечно, execve не единственный syscall, который необходимо зарегистрировать. Почему нет execvp также? Или execl? и т.д. –  2rs2ts 10.05.2016, 23:05
  • 2
    На самом деле, я заметил это в странице справочника для exec это говорит это" exec() семейство функций заменяет изображение текущего процесса новым образом процесса. Функции, описанные в этой странице руководства, являются фронтендами для execve(2)." Поэтому, в то время как я не уверен в execveat Я могу чувствовать себя уверенным о exec семейство. –  2rs2ts 11.05.2016, 20:34

Можно использовать команду сценария. Эта команда не включена в POSIX, но Вы найдете полезным сохранить в файле все нажатия клавиш, а также выходные сигналы и сообщения об ошибках. Можно позже просмотреть файл. Если Вы делаете некоторую важную работу и хотите сохранить журнал всех своих операций, необходимо сразу вызвать эту команду после входа в систему:

Сценарий $
Сценарий запустился, файл является машинописным текстом
$ _ Примечание, что это - другая оболочка - ребенок оболочки входа в систему

Быстрые возвраты и все Ваши нажатия клавиш (включая тот раньше возвращался), что Вы теперь входите здесь, зарегистрированы в файле 'машинописный текст'. После того, как Ваша запись закончена, можно завершить сессию путем ввода выхода.
Примечание: При вводе имени файла сценария сессия будет сохранена в имени файла файла, а не машинописном тексте, т.е., машинописный текст является значением по умолчанию, если никакое определенное имя файла не указано.

Можно теперь использовать имя файла кошки или машинописный текст кошки, какой бы ни случай может быть, для просмотра зарегистрированной сессии.

Если Вы хотите добавить новую сессию к старому использованию файла: сценарий-a Добавляет новую сессию к машинописному тексту, то же правило по умолчанию применяется здесь также

Это - один путь, которым системный администратор может отслеживать сессии. Надежда это было информативно и полезно.Удачи!

5
27.01.2020, 19:41

Теги

Похожие вопросы