尋找到bash腳本來記錄SSH活動

Question

我有一些可疑的SSH活動，顯然起源於我的電腦（OSX Sierra）...因此，我試圖確定爲什麼，更具體地說，這是從哪裏發生的。

我基本上尋找的東西來跟蹤ssh調用，下面似乎工作，揭示哪個進程的PID使呼叫。我選擇要檢查每15秒（也許這應該是更低）

lsof -r 15 -i -a -c ssh 

這個過程，然後我想大約是使這些SSH請求節目信息運行ps -fp <PID>。

我想自動執行此操作（對任何找到的ssh活動運行ps -fp）並記錄結果信息。

我沒有真正的製作腳本的經驗，如果任何人都可以幫助我做到這一點，任何幫助將不勝感激。

Answer 1

嗯，不知道這是否會工作在Mac上，但是這可能讓你開始：

while [[ 1 ]] ; do echo "## $(date) ##" ; S_PIDS=$(lsof -i -a -c ssh | awk '/ssh/ {print $2}') ; ps -fp ${S_PIDS} ; sleep 15 ; done 

或者，記錄的信息：

while [[ 1 ]] ; do echo "## $(date) ##" ; S_PIDS=$(lsof -i -a -c ssh | awk '/ssh/ {print $2}') ; ps -fp ${S_PIDS} ; sleep 15 ; done | tee /tmp/ssh.log 

:)
戴爾