所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析、处理、展示(包括文本或者视频录像)
方法1)通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐)
方法2)sudo配合syslog服务,进行日志审计(信息较少,效果不错)
方法3)在bash解释器程序里嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释器。
方法4)齐治的堡垒机:商业产品
我们今天要学习的是 sudo日志审计:专门对使用sudo命令的系统用户记录其执行的命令相关信息。
一,查询是否安装软件包
rpm -qa|egrep "sudo|rsyslog"
二,配置sudoers
echo "Defaults logfile=/var/log/sudo.log" >> /etc/sudoers
三,检查sudoers语法
visudo -c
四,配置rsyslog.conf
echo "local2.debug /var/log/sudo.log" >> /etc/rsyslog.conf
五,重启rsyslog服务:/etc/init.d/rsyslog restart
六,可以看见在/var/log下面生成了一个sudo.log文件权限为600(如果没看见则重新登录一下)
七,其他收集方案:scribe , flume, stom, logstash