Добрый день. Вопрос следующий:
на сервере с Debian без GUI нужно просмотреть журналы следующих типов событий:
1) включение сервера
мое решение НЕ ПОДХОДИТjournalctl --list-boots
2) выключение сервера/перезагрузка сервера
мое решениев файл /etc/audit/audit.rules добавить строки:
-a exit,always -F arch=b64 -S execve -F path=/sbin/reboot -k reboot
-a exit,always -F arch=b64 -S execve -F path=/sbin/init -k reboot
-a exit,always -F arch=b64 -S execve -F path=/sbin/poweroff -k reboot
-a exit,always -F arch=b64 -S execve -F path=/sbin/shutdow -k reboot
Отслеживать события с помощью команды: sudo ausearch -k reboot
3) вход пользователя
мое решениеsudo aereport -l
4) выход пользователя
5) создание процесса
мое решениев файл /etc/audit/audit.rules добавить строки:
-a entry,always -F arch=b64 -S fork -k start_process
-a entry,always -F arch=b64 -S clone -k start_process
-a entry,always -F arch=b64 -S execve -k start_process
Отслеживать события с помощью команды: sudo ausearch -k start_process
6) завершение процесса
мое решениев файл /etc/audit/audit.rules добавить строки:
-a exit,always -F arch=b64 -S kill -k kill_process
-a exit,always -F arch=b64 -S exit_group -k kill_process
Отслеживать события с помощью команды: sudo ausearch -k kill_process
Средний
