如何記錄傳出 ssh 會話的連接/斷開連接？

我正在尋找來自傳出 ssh 會話的連接/斷開記錄。這是auditd可以做的事情嗎？我可以通過出站連接的審核記錄獲取日誌，但棘手的部分是跟踪會話何時斷開連接..

我什至嘗試使用 ss 並通過 filebeat 每隔 1 秒解析一次，因為 ss 有一個連接狀態欄位，但狀態只顯示已建立。

我要尋找的範例輸出是：

時間戳 192.168.1.200:22 已連接

時間戳 192.168.1.200:22 已斷開連接

經過一番研究後得到它的工作。這是為其他想知道如何做的人準備的：

iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "Connection established: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags FIN FIN -j LOG --log-prefix "Connection closed: "
iptables -A OUTPUT -p tcp --dport 22 --tcp-flags RST RST -j LOG --log-prefix "Connection closed: "

引用自：https://unix.stackexchange.com/questions/571227