需要捕获在Linux上触发的命令

Question

我想捕获用户在会话中触发的所有命令。 出于审计目的，这是必需的。

我用了下面的东西

LoggedIn=`date +"%B-%d-%Y-%M:%H"`
HostName=`hostname`
UNIX_USER=`who am i | cut -d " " -f 1`
echo " Please enter a Change Request Number for which you are looging in : "
read CR_NUMBER
FileName=$HostName-$LoggedIn-$CR_NUMBER-$UNIX_USER
script $FileName

我已将此代码段放在.profile文件中，以便用户一旦登录到SU帐户，便会创建该文件。 计划是将该文件推送到中央存储库，审核员可以在其中查看这些文件。

但是，这有几个问题。

1. “脚本”命令将会话中的所有数据假脱机，例如，用户为一个属性文件创建目录，它将属性文件的所有数据附加到审核文件中。

2. 除非用户触发'exit'命令，否则数据将不会被假脱机到审核文件中，如果用户使用out fireing exit命令注销，则审核文件将为空。

有没有更好的审计解决方案？ 历史记录文件不是一个选项，因为它不会告诉我命令是针对哪个更改请求号（在组织内部）执行的。 是否有其他方法仅捕获仅触发的命令而不捕获输出？

一些先前的讨论在这里和这里

Answer 1

我认为该软件完全符合您的需求：

• https://github.com/a2o/snoopy