El servicio FTP crea registros de sus transferencias de archivos. El servicio SFTP, que se ejecuta bajo el protocolo ssh, puede ser auditado mediante la preselección de la clase de auditoría ft. Se pueden auditar los inicios de sesión en ambos servicios.
Para conocer las opciones de registro disponibles, lea ProFTPD Logging.
Para registrar el acceso a sftp y las transferencias de archivos, edite la clase ft.
La clase ft incluye las siguientes transacciones SFTP:
% auditrecord -c ft file transfer: chmod ... file transfer: chown ... file transfer: get ... file transfer: mkdir ... file transfer: put ... file transfer: remove ... file transfer: rename ... file transfer: rmdir ... file transfer: session start ... file transfer: session end ... file transfer: symlink ... file transfer: utimes
Para registrar el acceso al servidor FTP, audite la clase lo.
Como indica el siguiente ejemplo de salida, el inicio y cierre de sesión del daemon proftpd generan registros de auditoría.
% auditrecord -c lo | more ... FTP server login program proftpd See in.ftpd(1M) event ID 6165 AUE_ftpd class lo (0x0000000000001000) header subject [text] error message return FTP server logout program proftpd See in.ftpd(1M) event ID 6171 AUE_ftpd_logout class lo (0x0000000000001000) header subject return ...