Comment archiver les démarrages / arrêts de tous les process?

Bonjour à tous,
J’ai régulièrement une tentative d’accès root sur une de mes machines, cela vient d’une autre machine sur mon réseau local (IP en 192.168.0…). Je n’arrive pas à identifier le pg origine, je ne vois rien de spécial dans les logs du PC origine.
J’imagine donc archiver tous les démarrages & arrêts de pgs sur le PC origine. Pour ce faire j’ai commencé à utiliser auditd mais, « mal configuré », j’ai planté ce PC (un serveur), voir mon précédent post « Auditd - Attention ». Avant de reprendre mes essais avec auditd, merci à Zargos pour le conseil pour paramétrer ‹ audit_set_backlog_limit ›, je pose une question plus générale, un lecteur a-t-il une autre solution pour répondre à la question du sujet?

l’autre solution c’est un serveur central de logs auquel tu envoies l’intégralité des logs des deux machines. Et tu augmente le niveau de logs de sshd en debug par exemple.
sais tu si il y a une frequence horaire visible?

Le serveur central de logs fait partie de ma ToDo List mais ce n’est pas une priorité, ni pour cela, c’est simple d’avoir les 2 logs en vis à vis.
Augmenter le niveau logs de sshd, je prends, c’est vite fait.
Fréquence visible, oui tous les jours à 2, 3, 4, 5 et 6h mais rien de ce genre dans le crontab!

mais sans résultat utile de plus.

La seule solution ensuite c’est d’augmenter le niveau de log de tous les processus de la machine source. Et sur la machine cible de capturer les paquets SSH des connexions correspondantes.