SecureCRT 在 Debian 的日志记录功能详解
一 功能与适用场景
- 会话日志:记录终端回显的命令与输出,适合日常排障与审计。
- 会话原始日志:逐键记录(含空格、控制键等),可读性差,仅在需要完整键盘级审计时启用。
- 建议默认使用会话日志;原始日志仅在确有必要时勾选,避免产生难以阅读的“乱码”内容。
二 配置步骤与关键选项
- 打开全局默认设置:依次点击 Options → Global Options → Edit Default Settings(或 Configure → Default Sessions,不同版本菜单略有差异)。
- 进入日志设置:在左侧选择 Log File。
- 设置日志路径与文件名模板:在“日志文件名”中指定目录与文件名,并使用替换码组织目录结构与时序,例如:
- 路径模板:/var/log/securecrt/%H/%Y-%M-%D_%h%m%s.log
- 替换码:%H(主机名)、%S(会话名)、%Y(年)、%M(月)、%D(日)、%h(时)、%m(分)、s(秒)
- 常用日志选项(按需勾选):
- Start log upon connect:连接即自动开始记录
- Append to file:追加到现有文件
- Overwrite file:覆盖同名文件
- Start new log at midnight:每日0点自动新建日志(文件名需含日期,如 %D)
- 自定义日志内容:在 Custom log data 中
- Upon connect:连接建立时写入一行标识,如 [%Y-%M-%D %h:%m:%s] Connected to %H
- On each line:为每行输出添加时间戳,如 [%h:%m:%s]
- 应用到全部会话:保存时选择 Change ALL sessions (no undo),使配置对所有会话生效。
三 文件名与时间格式模板
- 常用替换码与含义
| 代码 |
含义 |
| %H |
主机名 |
| %S |
会话名 |
| %Y |
年(四位) |
| %M |
月(两位) |
| %D |
日(两位) |
| %h |
小时(两位,24小时制) |
| %m |
分钟(两位) |
| %s |
秒(两位) |
- 实用命名示例
- 按主机/日期分目录并按秒排序:/var/log/securecrt/%H/%Y-%M-%D_%h%m%s.log
- 含会话名与时间:/var/log/securecrt/%S_%Y%M%D-%h%m%s.log
- 若启用“Start new log at midnight”,务必在文件名中包含 %D,否则无法按天切分。
四 日志分析与最佳实践
- 分析建议
- 使用 Upon connect 写入会话元信息(时间、主机、用户),便于检索与归档。
- 使用 On each line 时间戳(如 [%h:%m:%s])快速定位命令执行时点与输出对应关系。
- 结合 grep / awk / sed 对日志做关键字、时间窗、主机维度的快速筛选与统计。
- 安全与合规
- 日志可能包含口令/密钥/敏感配置,建议设置目录权限为仅管理员可读写,例如 chmod 700 /var/log/securecrt && chown $USER:$USER /var/log/securecrt。
- 集中采集与备份:通过 rsync / scp 或日志代理定期归档至受控存储,避免本地篡改。
- 若需键盘级审计再启用原始日志;日常排障以会话日志为主,可读性更好。
