나가는 SSH 세션의 연결/연결 끊김을 기록하려고 합니다. 이것이 auditd가 할 수 있는 일인가요? 아웃바운드 연결의 auditbeat를 통해 로그를 얻을 수 있지만 세션 연결이 끊기는 시점을 추적하는 것이 까다로운 부분입니다.
ss에는 연결 상태에 대한 필드가 있지만 상태는 설정된 것으로만 표시되므로 ss를 사용하고 filebeat를 통해 1초마다 구문 분석을 시도했습니다.
내가 원하는 샘플 출력은 다음과 같습니다.
타임스탬프 192.168.1.200:22 연결됨
타임스탬프 192.168.1.200:22 연결 끊김
답변1
몇 가지 연구를 통해 효과가 있다는 사실이 밝혀졌습니다. 이 작업을 수행하는 방법이 궁금하신 분은 여기를 참조하세요.
iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "Connection established: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags FIN FIN -j LOG --log-prefix "Connection closed: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags RST RST -j LOG --log-prefix "Connection closed: "