発信SSHセッションの切断/切断を記録しようとしています。これがauditdができることですか?アウトバウンド接続の auditbeat でログを取得できますが、セッションが切断された時点を追跡するのは難しい部分です。
ssには接続ステータスのフィールドがありますが、ステータスは設定されているだけで表示されるため、ssを使用してfilebeatを介して1秒ごとに解析を試みました。
私が望むサンプル出力は次のとおりです。
タイムスタンプ192.168.1.200:22接続
タイムスタンプ 192.168.1.200:22 切断
ベストアンサー1
いくつかの研究で効果があることがわかりました。これを行う方法がわからない場合は、こちらをご覧ください。
iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "Connection established: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags FIN FIN -j LOG --log-prefix "Connection closed: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags RST RST -j LOG --log-prefix "Connection closed: "