第 38 章 使用 CLI 配置会话记录

会话记录的限制

• 您可以为 root 用户配置会话记录，但 root 用户有禁用或绕过记录过程的权限，从而使会话记录不可靠进行审计。
• GNOME 图形会话中的终端会话不会被记录。这是因为图形会话中的所有终端共享一个审计会话 ID，这样可防止 tlog 区分它们并正确捕获记录。

• 查看日志时可能会出现日志记录循环。记录的用户查看系统日志或 /var/log/messages，它会生成新的日志，这些日志随后会被记录并显示，从而导致大量输出的循环。

  要防止日志记录循环，请实时查看日志并过滤出创建循环的日志条目：

  journalctl -f | grep -v 'tlog-rec-session'

  您还可以配置 tlog 来限制输出。详情请查看 tlog-rec-session.conf 手册页。

• 您必须在目标主机上配置会话记录以进行远程执行。例如，如果您要在用户使用 ssh 连接到远程系统时记录用户的会话，请在其连接的远程系统中配置记录。
• 如果 systemd-journald 服务使用其默认配置将日志存储在内存中，则所有记录都会丢失。