我已经在RHEL6服务器上configuration了Auditd,并使用了TTY日志logging
pam_tty_audit.so enable=* 在/etc/pam.d/system-auth和/etc/pam.d/password-auth中
我没有在audit.rules文件中configuration任何其他规则,因为我感兴趣的只是logging由用户执行的命令,而不是跟踪所有过程活动
我能够在本地服务器上查看本地用户执行的命令。 但是,如果用户正在使用SSH从其他服务器远程执行命令,如
ssh userid@<rhel server> date
这些命令没有logging在审计日志..有什么办法可以logging这些?