Я хочу получить журналы с моего сервера, но не общие журналы, например syslog это дает мне много случайных журналов. Я хочу знать, как я могу получить журналы таких вещей, как логины (с указанием времени, IP и имени пользователя), команды, запущенные пользователем, выполняемые в данный момент процессы и тому подобное.
Чтобы регистрировать команды, выполняемые людьми, необходимо включить учет процессов Linux. Это должно быть в пакете с именем acct (в Debian, вероятно, что-то похожее на дистрибутивы на основе redhat) и состоит из двух частей. Первый accton это команда, запускаемая при загрузке, которая сообщает ядру регистрировать все, что выполняется (ваш пакет должен настроить это за вас). Другая часть - это набор утилит, которые читают файл журнала и выводят из него полезную информацию. В Debian это включает
dump-acct который декодирует двоичный файл журнала и выгружает данные в виде текстаsa который делает более или менее то же самое, но фокусируется на извлечении запущенных программ.lastcomm который выгружает журнал для определенного терминала, пользователя или команды.И еще несколько, чтобы выяснить, как долго люди были на связи. Вам нужно будет решить, что именно вы хотите получить из журналов, поскольку записывается много всего, но этот сайт есть несколько примеров того, что вы можете сделать.
Для входа: посмотрите на last команда.
Для каких команд они выполнялись: посмотрите на lastcomm команда. Кроме того, любая привилегированная команда запускается с sudo будет в системных журналах.
Чего именно вы пытаетесь достичь? Возможно, вы захотите включить функцию BASH-истории и включить там временные метки. Но это не даст вам процессов, запущенных в определенное время.