type=TTY msg=audit(08/12/2020 02:33:30.163:107) : tty pid=2709 uid=e4ws5 auid=root ses=1 major=4 minor=1 comm=sh data="/bin/bash -i",<nl>
谁能告诉我在此 audit.log 中如何有一个名为 data= 的字段名称,其中包含正在执行的命令,这是日志文件中的自定义配置还是默认配置。
AskOverflow.Dev
通过在/etc/pam.d/system-auth或/etc/pam.d/password-auth上启用以下 PAM 模块pam_tty_audit.so来记录审计日志类型TTY以审计登录 shell 用户活动。
当启用* pam_tty_audit.so时,数据字段包含在审计文件的正常输出中。
检查所有tty消息: