Le service FTP crée des journaux pour les transferts de fichiers. Le service SFTP, qui s'exécute sous le protocole ssh, peut être audité par présélection de la classe d'audit ft. Les connexions aux deux services peuvent faire l'objet d'un audit.
Pour connaître les options de journalisation disponibles, visitez la page ProFTPD Logging.
Pour journaliser l'accès et les transferts de fichier sftp, modifiez la classe ft.
La classe ft comprend les transactions SFTP suivantes :
% auditrecord -c ft file transfer: chmod ... file transfer: chown ... file transfer: get ... file transfer: mkdir ... file transfer: put ... file transfer: remove ... file transfer: rename ... file transfer: rmdir ... file transfer: session start ... file transfer: session end ... file transfer: symlink ... file transfer: utimes
Pour enregistrer l'accès au serveur FTP, auditez la classe lo.
Comme indiqué dans l'exemple de sortie suivant, la connexion et la déconnexion du démon proftpd génèrent des enregistrements d'audit.
% auditrecord -c lo | more ... FTP server login program proftpd See in.ftpd(1M) event ID 6165 AUE_ftpd class lo (0x0000000000001000) header subject [text] error message return FTP server logout program proftpd See in.ftpd(1M) event ID 6171 AUE_ftpd_logout class lo (0x0000000000001000) header subject return ...