在Debian系統中,syslog是一個用于記錄系統消息的守護進程。要記錄用戶操作,你需要配置syslog以捕獲相關的事件。以下是一些建議的步驟:
打開syslog配置文件:
使用文本編輯器打開/etc/rsyslog.conf
文件。例如,你可以使用nano編輯器:
sudo nano /etc/rsyslog.conf
啟用用戶級日志記錄:
在rsyslog.conf
文件中,找到以下行:
#auth,authpriv.* /var/log/auth.log
取消注釋(刪除行首的#符號),以便啟用用戶級日志記錄:
auth,authpriv.* /var/log/auth.log
配置syslog以捕獲特定用戶操作:
在rsyslog.conf
文件中,添加以下行以捕獲特定用戶的操作:
if $programname == 'ssh' and $syslogtag == 'sshd' then /var/log/user_actions.log
& stop
這將捕獲與SSH相關的用戶操作并將其記錄到/var/log/user_actions.log
文件中。你可以根據需要修改條件以捕獲其他用戶操作。
保存并關閉文件:
按Ctrl + X
,然后按Y
,最后按Enter
保存更改并退出nano編輯器。
重啟rsyslog服務: 為了使更改生效,需要重啟rsyslog服務:
sudo systemctl restart rsyslog
現在,Debian系統將記錄用戶操作,例如SSH登錄和其他與指定條件匹配的操作。你可以查看/var/log/user_actions.log
文件以獲取這些記錄。