Hi,

Was ich sehen will:

• Interaktive Anmeldungen

Linux Audit Framework, incl. PAM-Modul pam_tty_audit

• Befehle, die zB so aufgerufen werden "ssh remote-server my-command"

aureport --tty

• scp-Befehle. Mit Pfad wäre schön. Ggf reicht auch, die Info, dass scp aufgerufen wurde.

Ebenso.

Ich sehe zwei Wege:

• ForceCommand http://man.openbsd.org/OpenBSD-current/man5/sshd_config.5#ForceCommand

• oder auditd.

Letzteres ist zu empfehlen für den Usecase mehrerer Server. Das kannst du dann zentral auf einem besonders gesichertem Host und bei Bedarf auch live sammeln.

Gruß, Andreas