# readme

sshd-tool用于收集sshd的日志，过滤出用户的登录和退出ssh信息

依赖：

- sshd
- rsyslog

工作流程：

配置sshd和rsyslog，将sshd日志转发到机器上的一个unix socket或者远端的tcp或udp

sshd-tool监听这个unix socket，过滤出需要的信息

除此之外，sshd-tool需要解析各个系统用户家目录下的.ssh/authorized_keys文件的内容

最终，sshd-tool提供查询服务

## todo

- 适配ubuntu系统，对于Ubuntu，系统who -u中的pid是ssh日志中pid的子进程，需要处理一下
- 能查询出以前的，没有被sshd-tool记录的在线情况

## 注意

- sftp登录在sshd日志里有记录，而who -u的输出是没有记录的
- who -u的输出里，可能有多个pid相同的数据，那是同一个ssh连接的多个虚拟终端，由于没有登录动作，所以sshd日志里没有对应的日志条目

## auditd日志分析