bash记录所有用户的历史记录，监控用户一举一动

本文介绍如何通过调整bashrc参数，利用syslog记录所有用户的bash历史命令，包括执行命令的时间、用户身份和IP地址，以实现审计目的。通过配置全局bash历史记录式、rsyslog和logrotate，实现日志按天切割，并提供了一种更简洁的方法，直接将bash历史记录打入指定文件。此外，还对比了不同做法的日志输出格式。

https://www.52os.net/articles/bash-log-all-history-to-syslog.html?utm_source=tuicool&utm_medium=referral

bash记录所有用户的历史记录

bash是多数Linux发行版默认的shell，虽然不及zsh好用，但比其它的shell好太多。
我们的生产服务器很多，没有用跳板机，又是多人共用root用户，为了审计用户操作，需要记录执行命令的用户、时间和ip等信息。本文之所以要优化，主要是因为bash默认配置存在以下几点不足：

历史记录保存数目有限，默认1000条
记录不详细，不记录命令执行时间/执行用户名/用户ip等
历史记录会丢失，主要有两种情况： 1. bash异常退出 2.同一用户多处登录或开了多个会话，只会记录最后退出的会话历史

上面这三点不足，都可以通过调整bashrc的参数解决，怎么做就不说了。服务器这么多，如何用最省事方法解决才是关键。我采用的是用syslog记录bash历史命令

一、常规配置syslog做法

1.1 配置全局bash历史记录格式
编辑/etc/bashrc（centos）或/etc/bash.bashrc(debian),增加：

export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(who am i) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"'

1.2 配置rsyslog
新增文件/etc/rsyslog.d/bash.conf,内容：

local6.*    /var/log/bash_history.log

重启rsyslog ：

service rsyslog restart

1.3 配置日志分割
虽然bash历史记录不会占用太多空间，但为了方便查看还是用logrotate分割一下。,按天切分日志,新建文件/opt/logrotate_bash.conf，内容：

/var/log/bash_history.log
{
   sharedscripts
   postrotate
   /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
  endscript
}

添加定时任务：

59 23 *  *  * root /usr/sbin/logrotate -f /opt/logrotate_bash.conf

如果不介意两天的日志混在一起，可以直接将/var/log/bash_history.log加入/etc/logrotate.d/syslog中即可。

二、使用logger命令记录到syslog

服务器这么多，这样配置有些麻烦，能不能更简单一点，答案是可以的。logger命令是一个shell接口，可以通过它使用Syslog日志系统。直接编辑/etc/profile文件，在最后加入：

    function log2syslog
    {
export HISTTIMEFORMAT="[%Y-%m-%d %H:%M:%S] [`who am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`] "
export PROMPT_COMMAND='\
  if [ -z "$OLD_PWD" ];then
        export OLD_PWD=$(pwd);
  fi;
  if [ ! -z "$LAST_CMD" ] && [ "$(history 1)" != "$LAST_CMD" ]; then
        logger  `whoami`_shell_cmd "[$OLD_PWD]$(history 1)";
  fi ;
  export LAST_CMD="$(history 1)";
  export OLD_PWD=$(pwd);'
}   
trap log2syslog DEBUG

即可将bash的历史记录打入/var/log/message中，同时系统会自动切割，查看命令只需grep一下shell_cmd即可，美中不足是cronjob不是每天0点执行，所以日志不是按天分割，两天的日志会混在一起

三、直接打到指定文件

bash命令即使记录时间非常久也很小，不需要切割；同时为方便查看，不想bash历史日志和message日志混在一起，所以需要单独打到一个文件中。只需按第二种做法稍稍改变一下即可,同样编辑/etc/profile文件，在最后加入：

    function log2file
    {
export HISTTIMEFORMAT="[%Y-%m-%d %H:%M:%S] [`who am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`] "
export PROMPT_COMMAND='\
  if [ -z "$OLD_PWD" ];then
        export OLD_PWD=$(pwd);
  fi;
  if [ ! -z "$LAST_CMD" ] && [ "$(history 1)" != "$LAST_CMD" ]; then
        echo  `whoami`_shell_cmd "[$OLD_PWD]$(history 1)" >>/var/log/bash_history.log;
  fi ;
  export LAST_CMD="$(history 1)";
  export OLD_PWD=$(pwd);'
}   
trap log2file DEBUG

将logger命令改成echo，即可将bash历史记录打到/var/log/bash_history.log

四、三种做法的效果

正常做法，使用syslog,日志输出到/var/log/bash_history.log ，格式：

Feb 20 01:44:07 Centos-Test root: root     pts/2        2016-02-20 01:44 (will-pc.52os.net) [17983]: ps -ef [0]

第二种方法，通过logger使用syslog，日志输出到/var/log/messages,格式：

Feb 20 01:37:44 Centos-Test root: root_shell_cmd [/etc/rsyslog.d] 1179  [2016-02-20 01:37:44] [will-pc.52os.net] ps -ef

第三种方法，不用syslog直接打到文件，日志输出到/var/log/bash_history.log，格式：

root_shell_cmd [/root] 76 [2016-03-27 07:27:41] [10.11.15.41] vim /var/log/messages