深入了解在Linux中监控用户活动的技巧!

已于 2023-12-23 08:21:57 修改
阅读量923 收藏 22
点赞数 18
分类专栏: Linux 文章标签: linux 运维 服务器
于 2023-12-22 19:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GitHub_miao/article/details/135103291
版权

监控用户活动是确保Linux系统安全性的重要一环。了解用户的活动可以帮助管理员检测潜在的问题,追踪系统事件,以及确保合规性。本文将详细介绍如何在Linux系统中监控用户活动,提供丰富的示例代码和解释。

使用 whow 命令

whow 命令可以帮助您查看当前登录的用户和他们的活动。以下是一些示例:

1 查看当前登录用户

使用 who 命令可以查看当前登录的用户:

who

2 查看用户活动和负载

w 命令不仅可以查看当前登录用户,还可以显示用户的活动情况、终端信息和系统负载:

w

使用 last 命令

last 命令用于查看系统登录记录。可以查看用户的登录历史、登录时间、IP地址等信息。

1 查看用户登录历史

last

2 查看特定用户的登录历史

如果想查看特定用户的登录历史,可以使用用户名作为参数:

last username

使用 auditd 审计工具

auditd 是一个高级的审计框架,可以用于监控文件访问、命令执行、系统调用等系统活动。以下是一些示例代码:

1 安装和启动 auditd

首先,确保 auditd 已安装并启动:

sudo apt install auditd  # 对于Debian/Ubuntu
sudo yum install audit  # 对于CentOS/RHEL
sudo systemctl start auditd

3.2 监控文件访问

要监控特定目录下的文件访问,可以使用以下命令:

auditctl -w /path/to/directory -p rwxa

这将监控指定目录下的文件读取、写入、执行和属性更改。

3 查看审计日志

审计日志存储在 /var/log/audit/audit.log 中。您可以使用以下命令查看审计日志:

cat /var/log/audit/audit.log

使用 ps 命令

ps 命令可以查看当前系统上运行的进程信息,包括哪些用户启动了哪些进程。

1 查看所有用户的进程

ps aux

2 查看特定用户的进程

要查看特定用户的进程,可以使用以下命令:

ps -u username

使用 ssnetstat 命令

ssnetstat 命令用于查看网络连接和端口信息,可以了解哪些用户正在与系统上的网络服务进行通信。

1 查看所有网络连接

使用 ss 命令查看所有网络连接:

ss -tuln

2 查看特定用户的网络连接

可以使用 grep 命令来筛选特定用户的网络连接,例如:

ss -tuln | grep username

Linux系统中监控用户活动示例代码

以下是一些示例代码,演示了如何在Linux系统中监控用户活动:

# 使用who查看当前登录用户
who

# 使用w查看用户活动和系统负载
w

# 使用last查看用户登录历史
last

# 查看特定用户的登录历史
last username

# 使用auditctl监控文件访问
auditctl -w /path/to/directory -p rwxa

# 查看审计日志
cat /var/log/audit/audit.log

# 使用ps查看所有用户的进程
ps aux

# 查看特定用户的进程
ps -u username

# 使用ss查看所有网络连接
ss -tuln

# 查看特定用户的网络连接
ss -tuln | grep username

使用 journalctl 查看系统日志

journalctl 命令用于查看系统日志,可以了解系统活动以及用户的操作记录。以下是一些示例:

1 查看系统日志

journalctl

这将显示系统的完整日志。

2 查看特定用户的操作记录

要查看特定用户的操作记录,可以使用 grep 命令来筛选日志:

journalctl _COMM=sudo | grep username

这将显示特定用户使用 sudo 命令的记录。

使用 auditdausearch 进行高级审计

auditd 可以配置高级审计规则,以监控用户活动,如文件访问、命令执行等。ausearch 命令用于查询审计日志。以下是示例:

1 设置审计规则

配置 auditd 规则来监控用户对敏感文件的访问:

auditctl -w /path/to/sensitive/file -p rwa -k sensitive_file_access

这将监控文件的读、写和属性更改操作。

2 查询审计日志

使用 ausearch 查询审计日志来查找特定用户对敏感文件的访问:

ausearch -k sensitive_file_access -sv avc -u username

这将显示特定用户对敏感文件的访问事件。

高级的用户活动监控示例代码

以下是一些示例代码,演示了如何使用 journalctlauditdausearch 进行更高级的用户活动监控:

# 使用journalctl查看系统日志
journalctl

# 查看特定用户的sudo操作记录
journalctl _COMM=sudo | grep username

# 设置auditd规则来监控文件访问
auditctl -w /path/to/sensitive/file -p rwa -k sensitive_file_access

# 查询审计日志以查找特定用户对敏感文件的访问
ausearch -k sensitive_file_access -sv avc -u username

总结

在Linux系统中监控用户活动是确保系统安全性的关键步骤。本文提供了多种方法和示例代码,帮助您了解如何使用 whowlastauditdjournalctlausearch 等工具来监控用户的登录、活动和系统事件。

通过定期监控用户活动,可以更好地维护系统的安全性和合规性,并及时识别潜在的问题。希望这些信息对您在Linux系统上进行用户活动监控提供了帮助。

另外,我们还为大家准备了Linux全套学习资料,小伙伴们记得来找我领取哦!
在这里插入图片描述

领取方式

扫描下方二维码,回复666,即可获取全套资料。

扫描二维码,回复【 666
程序员喵哥
关注
专栏目录
深入探索Linux:查看特定目录磁盘使用情况的命令与技巧
06-25
Linux系统,管理和监控磁盘使用情况是一项基本且重要的任务。系统管理员和开发者经常需要检查特定目录的磁盘空间使用情况,以确保系统的高效运行和避免磁盘空间不足的问题。本文将详细介绍Linux用于查看特定...
Linux使用top命令的技巧
09-15
Linux的top命令详解...掌握这些`top`命令的技巧,可以帮助Linux系统管理员更好地监控和管理系统的性能,及时发现和解决问题,提升系统的稳定性和效率。在日常运维工作,熟练使用`top`命令是必不可少的技能之一。
linux 查看各个用户下线程使用情况
王坦的博客
08-31 1808
ps h -Led -o user | sort | uniq -c | sort -nr
linux用户下查看当前用户或者历史用户的操作记录
秘密博客
07-18 3409
linux用户下查看当前用户或者历史用户的操作记录
Linux下自动监控进程运行状态
最新发布
不经一翻彻骨寒,怎得梅花扑鼻香
08-07 842
Linux下使用crontab+脚本实现进程运行状态定时监控
linux查看用户的操作记录,Linux下查看用户登陆后的操作记录
weixin_39849153的博客
04-28 496
Linux下查看用户登陆后的操作记录  在linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台 服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录(命令:history)是没有什么意义了。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录 呢?答案:有的。通过在/...
Linux系统检查登录用户是否过多 (比如超过100个),使用uptime,who,cron等命令查看登录用户的数量
m0_72264571的博客
03-15 102
可以使用who, wc 和uptime等组合起来,查看登录的用户总数。在脚本使用 who ,wc 组合命令获取当前登录用户数,如果超过了,它会使用 mail 命令发送一封包含警告信息的电子邮件给管理员。 使用 cron把脚本设置为定期运行,当登录数超过阀值的时候,及时发送警告信心。这个脚本可以有效的房子网络攻击,当服务器泄密,或攻击者会登录到我们系统,进行非法活动的时候,我们能够及时发现,并尽快处理,从而止损。
Linux如何查看用户和进程对内存的使用情况
我逍遥的博客
08-14 3546
1、cat /proc/meminfo 2、top 3、atop 4、htop 5、GNOME System Monitor(GNOME可视化图形界面) 6、ksysguard(KDE可视化图形界面) 就像GNOME桌面拥有GNOME System Monitor一样,KDE桌面也有它自己的对口应用:KDE System Monitor。这个工具的功能与GNOME版本极其相似,也就是说
for-linux:针对Linux用户的脚本和技巧
05-09
在IT领域,Linux操作系统因其开源、稳定和高效而被广泛应用于服务器端和开发环境。"for-linux"这个压缩包显然是一份专为Linux用户准备的...同时,理解并掌握Shell脚本编写技巧,能够让你在Linux世界更加游刃有余。
linux键盘监控程序实验指南1
08-08
本实验旨在通过编写Linux下的键盘监控程序,实现在Ubuntu操作系统监控键盘输入并将结果记录到文件的功能。实验的核心是利用Linux的输入子系统,这是一个内核层面的机制,用于管理各种输入设备,包括键盘、鼠标等。...
PHP+swoole+linux实现系统监控和性能优化操作示例
10-17
#### Linux性能监控技巧 - **CPU性能监控**:使用`top`或`htop`命令可以查看CPU的使用率、各个进程的CPU占用情况。 - **内存性能监控**:`free`命令能够显示内存的使用量,包括物理内存、交换分区等。 - **磁盘I/O...
linux记录登录用户的详细操作
03-30
本文档使用了两种方法来记录liunx登录用户的详细操作,综合了使用scripts 以及脚本的方法,很实用,已在实际环境使用!
Linux 创建监控用户
javaDB_EAD的专栏
05-05 744
1.创建用户和登录shell useradd -s /bin/bash monitor 2.修改用户密码 passwd monitor 3.创建用户shell执行命令目录 mkdir /home/monitor/.bin 4.root修改用户的shell配置文件 chown root. /home/monitor/.bash_profile chmod 755 /home/monitor/.bash_profile 5.修改bash配置文件,主要是指定PATH的读取 [swal.
Linux系统,如何查看当前登录的用户
Eucalyptus's blog
04-23 1484
选择上述任一命令,根据需要获取当前登录用户的简单列表或详细信息。如果您是系统管理员,这些命令有助于监控系统活动用户会话状态。输出结果通常包括用户名、登录终端(TTY)、登录时间以及远程登录用户的来源地址(如果适用)。输出结果是一行文本,包含所有当前登录用户用户名,每个用户名之间用空格分隔。这将显示一个表格,列出了所有活动会话及其详细状态。查看当前在线用户的条目即可了解当前登录用户情况。它将只输出当前执行此命令的用户名。
linux系统监控:记录用户操作轨迹,谁动过服务器
weixin_48659263的博客
06-26 856
1、前言我们在实际工作当,都碰到过误操作、误删除、误修改过配置文件等等事件。对于没有堡垒机的公司来说,要在linux系统上深究到底谁做过配置文件的修改、做过误删除是很头疼的事情,特别是遇到删库跑路的事件,更头大了。当然,如果你想查看在某个时间段到底呢?
如何精准记录系统用户的每一步操作?深入探索 Java 审计日志实现
果酱 の 博客
01-11 2400
记录用户操作对于保证系统的安全性和可靠性至关重要。在 Java ,我们可以通过 AOP 和事件监听等机制,灵活而强大地实现操作日志的记录。
Linux用户帐户监控
allway2的博客
09-30 834
很久以前,在UNIX历史服务器上的用户是实际的UNIX用户,其包含条目,/etc/shadow交互式登录外壳和主目录。管理员可以使用一些工具与用户进行交流,并监视他们的活动,以避免可能导致服务器资源被不公平分配的愚蠢或恶意错误。 如今,您的用户群不太可能在拥有条目/etc/shadow,而由LDAP,Drupal或OpenShift等抽象层进行管理。再说一遍,现在有更多的服务器,这意味着有更多的系统管理员登录和注销以执行维护。哪里有活动,哪里就有犯错和混乱的机会,所以现在该清理那些旧的监视工具并加
linuxLinux 查看内存使用情况的几种方法汇总
热门推荐
DreamSun的博客
10-21 1万+
Linux 查看内存使用情况的几种方法包括使用 free 命令、top 命令、htop 命令、vmstat 命令和/proc/meminfo 文件。这些方法可以帮助用户了解系统内存的使用情况,包括总内存、已用内存、空闲内存、缓存和交换分区等信息。在运行 Linux 系统的过程为了让电脑或者服务器以最佳水平运行,常常需要监控内存统计信息。那么今天我们就来看看有哪些方法可以访问所有相关信息并帮助管理员监控内存统计信息。
深入探索Linux系统管理工具:监控与分析用户活动
标题和描述提到的“Linux系统管理工具实战详解”着重于如何有效地监控用户行为,这在系统维护和安全性方面至关重要。 文章提到了几个基础但实用的命令,首先是`who`命令。`who`用于显示当前登录到系统的用户信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值