発信sshセッションの接続/切断をログに記録する方法は?
発信sshセッションからの接続/切断をログに記録しようとしています。これは監査対象ができることですか?アウトバウンドに向かう接続のauditbeatを介してログを取得できますが、注意が必要なのは、セッションが切断されたときの追跡です。
Ssには接続ステータスのフィールドがあるため、ssを使用して、filebeatを介して1秒ごとに解析しようとしましたが、ステータスは確立済みとしか表示されません。
私が探しているものの出力例は次のとおりです。
タイムスタンプ192.168.1.200:22接続済み
タイムスタンプ192.168.1.200:22切断
いくつかの調査の結果、動作するようになりました。これは、それを行う方法を知りたい他の人のためのものです:
iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "Connection established: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags FIN FIN -j LOG --log-prefix "Connection closed: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags RST RST -j LOG --log-prefix "Connection closed: "