Minha estratégia é adicionar a /etc/bash.bashrc
a seguinte linha:
readonly PROMPT_COMMAND='history -a >(logger -t "cmdline $USER[$PWD] $SSH_TTY $SSH_CONNECTION")'
Em seguida, em /etc/rsyslog.conf
:
*.* @syslogserver:514
Eu prefiro essa abordagem do que fazer login em um único arquivo, como:
- arquivos são girados (ou seja, não crescem muito)
- o usuário não exclui o histórico
- cria uma trilha de registro remota resistente a adulteração / pirataria de um servidor
- O log de rotação no servidor syslog remoto pode ser alterado para manter alguns meses de log
- syslog-ng permite que você tenha logs de arquivos separe por endereço IP de registro
- é tudo em um ponto central e você não precisa estar inserindo várias veiculações para entender o que está acontecendo