Linux下利用日誌對用戶進行操做審計

爲了服務器的安全,以及避免平常運維中的一些誤操做,咱們常常linux

1.  在linux的啓動腳本里加入: vim  /etc/profile shell

if ! test -z "$BASH_EXECUTION_STRING" ; thenvim

        echo "===== $(date "+%F %T") $USER nologin cmd:  $BASH_EXECUTION_STRING" >>/var/log/command.log安全

elif  shopt -q login_shell ; then服務器

        printf "====== $(date "+%F %T") new login the last cmd: ">>/var/log/command.log運維

elsespa

        printf "====== $(date "+%F %T") su  the last cmd: ">>/var/log/command.logci

figet

export HISTTIMEFORMAT="%F %T  $USER ${SSH_TTY:5} ${SSH_CLIENT%% *}  "cmd

export PROMPT_COMMAND="history 1|tail -1|sed 's/^[ ]\+[0-9]\+  //'>> /var/log/command.log"

 

作完上面一步,用戶登陸系統時的操做,都會記錄在/var/log/command.log文件當中。

其格式爲:

====== 2015-07-04 13:52:42 new login the last cmd: 2015-06-27 10:44:52  root pts/0 124.133.7.42  df -h

2015-07-04 13:52:50  root pts/0 124.133.7.42  vi /etc/profile

第一行爲用戶登陸的信息。

第二行用戶執行的操做。包含時間、用戶名、終端類型、IP、以及命令的實際內容。

2.  註冊雲志的用戶。https://antrol.io

3.  執行配置「Linux」文件監控。

相關文章
相關標籤/搜索