117笔记问答在Debian系统中,syslog是一个用于记录系统消息的守护进程。要记录用户操作,你需要配置syslog以捕获相关的事件。以下是一些建议的步骤:
-
打开syslog配置文件: 使用文本编辑器打开
/etc/rsyslog.conf文件。例如,你可以使用nano编辑器:sudo nano /etc/rsyslog.conf
-
启用用户级日志记录: 在
rsyslog.conf文件中,找到以下行:#auth,authpriv.* /var/log/auth.log
取消注释(删除行首的#符号),以便启用用户级日志记录:
auth,authpriv.* /var/log/auth.log
-
配置syslog以捕获特定用户操作: 在
rsyslog.conf文件中,添加以下行以捕获特定用户的操作:if $programname == 'ssh' and $syslogtag == 'sshd' then /var/log/user_actions.log & stop
这将捕获与SSH相关的用户操作并将其记录到
/var/log/user_actions.log文件中。你可以根据需要修改条件以捕获其他用户操作。 -
保存并关闭文件: 按
Ctrl + X,然后按Y,最后按Enter保存更改并退出nano编辑器。 -
重启rsyslog服务: 为了使更改生效,需要重启rsyslog服务:
sudo systemctl restart rsyslog
现在,Debian系统将记录用户操作,例如SSH登录和其他与指定条件匹配的操作。你可以查看/var/log/user_actions.log文件以获取这些记录。