目的:監控登陸上linux 系統服務器的用戶,所使用過的命令。
採用以下步驟配置用戶命令日誌審計功能:
1.創建用戶審計文件存放目錄和審計日誌文件 ;
mkdir -p /var/log/usermonitor/
2.創建用戶審計日誌文件;
echo usermonitor >/var/log/usermonitor/usermonitor.log
3.將日誌文件所有者賦予一個最低權限的用戶;
chown nobody:nobody /var/log/usermonitor/usermonitor.log
4.給該日誌文件賦予所有人的寫權限;
chmod 002 /var/log/usermonitor/usermonitor.log
5.設置文件權限,使所有用戶對該文件只有追加權限 ;
chattr +a /var/log/usermonitor/usermonitor.log
6.編輯vim /etc/profile文件,添加如下腳本命令;
export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(whoami) #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'
7.使配置生效
source /etc/profile
審計時查看/var/log/usermonitor/usermonitor.log文件即可,它會記錄登上服務器所有用戶使用的命令。爲了更安全,還可以將該文件打包壓縮,ftp至其它地方。
原文鏈接:https://blog.csdn.net/hwh1231/article/details/53261406