端点管理指南：用于 UNIX › 审核事件 › 用户会话日志记录的工作原理

用户会话日志记录的工作原理

通过用户会话日志记录，您可以跟踪端点上的用户活动、重放会话和查看用户在该会话期间输入的命令。

注意：KBL 既使用 /etc/shells，又使用 <AC>/etc/shells.def 文件。

该会话记录器记录列在 /etc/shells 和 <AC>/etc/shells.def 文件中的所有程序的输入。 例如，如果 /etc/shells 中列有 /usr/bin/passwd 且您使用 passwd 来更改密码，那么 seaudit 实用工具会在您显示会话日志时显示更改的密码。 建议您在实施会话日志记录之前先查看 /etc/shells 文件。

注意：seaudit -kbl 命令不针对登录 shell 是 /bin/sh 的用户记录 -cmd。

遵循这些步骤:

1. 安装启用了“键盘记录器”选项的 CA ControlMinder。

   自定义 CA ControlMinder 参数文件来启用键盘记录器。

   注意：您可以在安装后在 seos.ini 文件中启用键盘记录器。

2. 启动 CA ControlMinder。

   确认键盘记录器后台进程 KBLAudMngr 正在运行。 使用 issec 实用工具查看 CA ControlMinder 后台进程的状态。

3. 将 INTERACTIVE 属性分配给您想要跟踪的用户以便启用会话日志记录。 例如：
   • selang:

     eu user1 audit(interactive)
     

   • CA ControlMinder 端点管理:

     在“用户属性”窗口中选中“审核”选项卡上的“交互”框。

   CA ControlMinder 启用了该用户帐号的会话日志记录。

4. 当用户登录端点时，CA ControlMinder 开始记录用户会话。 当用户注销该端点时，会话结束。
5. CA ControlMinder 将已纪录的会话保存在 kbl.audit 日志文件中。 该文件位于以下目录：

   /opt/CA/AccessControl/log
   

6. 将 seaudit 实用工具与 -kbl 命令结合使用可显示 kbl.audit 日志文件的内容。 例如：

   ./seaudit -kbl -sid 65223 -rp
   

   注意：有关 seaudit -kbl 命令的详细信息，请参阅《参考指南》。 建议您将 CA ControlMinder 端点与 CA Enterprise Log Manager 相集成，以便从企业中的主机收集用户会话并生成报告。 有关与 CA Enterprise Log Manager 集成的详细信息，请参阅《实施指南》。