[P&AM Lab] some admin tasks

[ruyk]

Привет, рассылка.

На работе пара задач интересных появилась, и я к вам за советами:)

1) На одном из серверов необходимо настроить логгирование действий
пользователей (к примеру когда какие команды в консольке набивались),
подключившихся из внешней сети.
Демон наверное auditd не вполне подходит т.к. он работает на слишком
низком уровне. Подозреваю что замучаюсь потом логи анализировать.

Нашёл ещё snoopy(https://github.com/a2o/snoopy). Разделяемая
библиотека, которая вешает хуки на execve вызовы. Тоже не подходит так
как в логи попадает много левой информации, т.к. например при
инициализации bash из .bashrc и profile запускается куча левого хлама.

Решил остановиться на rootsh (http://sourceforge.net/projects/rootsh/)
Могу врать но на сколько я понял он создаёт пару псевдотерминалов между
пользователем и запускаемой программой, и поэтому всё что попадаёт на
экран может быть словленно им и записано в лог.
Как решил задачу:
С помощью директивы openssh сервера ForceCommand будет запускаться
скрипт который будет анализировать переменную SSH_CLIENT и в
соответствии с ней запускать rootsh или обычный bash.

Вроде всё хорошо но не отпускает мысль что я нашёл не оптимальное
решение, есть какие-то штатные средства которые позволят добиться того
же?

2) Совсем коротенько опишу:)
Надо обеспечить передачу логов по шифрованному каналу с одного сервера
на другой.
Так как канал должен быть шифрованным, на сколько я понимаю, syslog и
rsyslog сразу отваливаются.
Из более менее подходящих программ нашёл только nxlog (
http://nxlog-ce.sourceforge.net/)

Есть ли известные вам удобные инструменты для централизованного анализа
логов (не грепить жеж)?
Может кто-то сталкивался с подобной проблемой, насоветуйте пожалуйста
ещё инструментов её решения.

Всем спасибо и заранее дополнительное спасибо ответившим:)

P.S.: Начало появляться это неловкое чувство когда понимаешь что только
ты задаёшь в рассылке вопросы :-[