在Linux下记录所有用户的登录和操作日志

最新推荐文章于 2024-01-28 13:11:35 发布
最新推荐文章于 2024-01-28 13:11:35 发布
阅读量4.9k 收藏 22
点赞数 1
分类专栏: Linux 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evilstar2015/article/details/125054742
版权

背景

在很多大厂中,一般会通过第三方的4A系统登录企业的服务器,登陆者所有的操作都会由4A系统采集、汇总、记录,以达到安全审计的目的。

但是很多小公司并没有采购4A系统的预算,那么为了保证操作的安全性和可追溯性,一般我们可以用history命令来查看用户的操作记录,但是这个命令不能记录是哪个用户登录操作的,也不能记录详细的操作时间,且不完整。所以误操作而造成重要的数据丢失,就很难查到是谁操作的。

今天就来介绍一种非常简洁的方法,通过编写脚本来追溯每个用户的操作记录。

实现方式

我们通过脚本代码来实现记录所有用户的登录操作日志。编辑/etc/profile文件,在文件末尾加入下面代码:

[root@rb1 /]# vi /etc/profile
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

说明:

/var/log/history这是记录日志的存放位置,可以自定义。

正常情况下,在/var/log/history下会以每个用户为名新建一个文件夹,

[root@rb1 /]# cd /var/log/history/
[root@rb1 history]# ll
total 20
d-wx------ 2 test test 4096 Jul 12 18:06 test
d-wx------ 2 interface interface 4096 Jul 12 18:12 interface

每次用户退出后都会产生以用户名、登录IP、时间命名的文件,里面包含此用户本次的所有操作:

[root@rb1 history]# cd interface/
[root@ rb1 interface]# ls
interface@180.173.188.252_20180626_14:59:51
interface@180.173.188.252_20180628_14:40:26
interface@180.173.188.252_20180703_09:44:21
interface@180.173.188.252_20180703_11:18:40
interface@180.173.188.252_20180704_13:37:19

注意事项

1、在配置完成后,一定要用root用户重新登录一次,这样会创建 /var/log/history目录。否则直接用普通用户登录会报无权限的错误,无法追溯用户操作。

2、在安装某些组件或工具的时候,会执行 source /etc/profile 并检测执行结果(echo $?)。按照上述配置,结果会返回1,为异常情况,那么工具可能会安装失败。

可以按照如下方式修改来解决这个问题:在 /etc/profile 文件的最后,加入一行:

echo "Welcome to `hostname`!"

这样,执行 source /etc/profile 返回值就为0了。

程序员柒叔
关注
  • 1
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux查看命令操作痕迹,Linux记录所有用户操作命令,以方便后期审计
weixin_42303282的博客
04-28 1688
运维与研发人员一多,登录服务器操作的情况越来越常见,为了安全,有必要对登录系统的每次操作都进行记录,以方便后期了解,掌握,审计。简单解决办法:修改/etc/profile文件,在最后增加如下内容:HISTFILESIZE=2000HISTTIMEFORMAT="%Y%m%d-%H%M `whoami` "保存文件,退出,输入source /etc/profile,让环境生效,或者退出终端,重新...
history保存用户操作日志,登陆时间,防止会话退出时覆盖
01-09
linux系统history记录保存用户操作日志,登陆时间,防止会话退出时覆盖 以下是代码: #说明: /etc/profile 中结尾添加如果下指令 #保存并执行如下使之生效:source /etc/profile #history #HISTFILESIZE:表示文件的最大大小,默认也是1000,可以自行设置; export HISTFILESIZE=100000 #HISTSIZE:表示最多可以存多少条命令(先进先出),可以在/etc/bashrc和~/.bash_profile里面设置(1000000不会报错)。 export HISTSIZE=10000 #HISTTIMEFORMA
Linux日志分析及日志管理
最新发布
qq_43420088的博客
01-28 1158
Linux日志分析及日志管理
linux记录用户登录操作日志.zip_linux查看登录用户
01-07
linux记录用户登录操作日志.日志分析 每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)
linux系统下自动记录用户操作
dxwd的专栏
01-19 842
在对linux系统进行操作的时候经常多开好几个ssh窗口,执行很多命令,如果操作内容很多,时间一久就会忘记,很有必要把每一次的操作记录保存下来用于日后查看;还有一种情况就是多人协作的场景,经常会出现不同人在同一台服务器上同时操作操作的内容互相影响,这时也非常需要有一个审计日志,可以很方便的查看哪个用户做了什么操作,执行了什么命令。以下是记录 bash 命令日志的参考方法,借此可以实现Linux系统上记录用户操作的审计日志
Linux用户行为日志审计
weixin_33898233的博客
11-20 603
2019独角兽企业重金招聘Python工程师标准>>> ...
linux系统监控:记录用户操作轨迹,谁动过服务器
weixin_48659263的博客
06-26 605
1、前言我们在实际工作当中,都碰到过误操作、误删除、误修改过配置文件等等事件。对于没有堡垒机的公司来说,要在linux系统上深究到底谁做过配置文件的修改、做过误删除是很头疼的事情,特别是遇到删库跑路的事件,更头大了。当然,如果你想查看在某个时间段到底呢?
@linux查看用户操作记录
ଲ一笑奈@何
04-18 1649
1.使用history命令 history如下所示: 存储的日志文件 ~/.bash_History [root@server ~]# history | head -20 1 passwd root 2 crontab -l 3 crontab -e 4 sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config 5 setenforce 0 6 getenforc
linux实时记录用户操作记录,linux 记录用户操作记录
weixin_33507732的博客
05-14 616
方法:1.利用script, 添加exec /usr/bin/script -a -f -q /tmp/test/script-`date +%Y%m%d%k%M`.lst 到 /etc/profile里,不过当su 切换用户的时候,有权限受限问题,可以先给/tmp/test/下的文件赋予全部权限。2.添加以下脚本到/etc/profileexport HISTTIMEFORMAT="[%Y.%m...
一个监控服务器上所有用户操作并将记录写入日志文件的脚本实现
逆风水手的博客
04-20 646
运行脚本后,它会一直在后台运行,监控服务器上的用户操作并将记录写入日志文件。你可以通过查看日志文件来了解服务器上的用户操作记录。在循环中,我们使用正则表达式来解析日志记录中的用户名、命令和时间戳,并将记录写入日志文件中。工具可以记录系统上用户的每一个操作,包括命令执行、文件访问、用户登录等等。要使用该脚本,只需要将其保存到一个文本文件中,例如。监控,并将记录写入日志文件。在脚本中,我们首先设置了日志文件路径。可以使用 Linux 系统自带的。工具来监控服务器上的用户操作
linux用户下查看当前用户或者历史用户操作记录
firstcode666的博客
02-25 5854
一、查看及管理当前登录用户 1、使用w命令查看登录用户正在使用的进程信息,w命令用于显示已经登录系统的用户的名称,以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括: 用户名称 用户的机器名称或tty号 远程主机地址 用户登录系统的时间 空闲时间(作用不大) 附加到tty(终端)的进程所用的时间(JCPU时间) 当前进程所用时间(PCPU时间) 用户当前正在使用的命令 $ w 23:04:27 up 29 days, 7:51,...
Linux历史操作记录审计.docx
06-17
Linux系统下可通过history命令查看用户所有的历史操作记录,在安全应急响应中起着非常重要的作用,但在未进行附加配置情况下,history命令只能查看用户历史操作记录,并不能区分用户以及操作时间,不便于审计分析。
操作系统安全:linux系统日志介绍.ppt
06-01
系统日志介绍 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd 或/etc/...
java日志记录工具类
09-25
调用方法:IndexDataLog.print(入参),可以设置文件大小,文件写满以后自动创建新的日志文件。一般用来记录用户的搜索词,或操作记录。目前以json格式保存日志,入参稍作修改,可以传入对象,linux和windows都支持。
shell中等待其他程序执行完毕
热门推荐
evilstar2015的专栏
03-16 1万+
有时候,该shell脚本需要等到另一个shell脚本 或 程序执行完毕之后,才开始执行。   提供一种方法:   查看 前序 脚本或程序 的进程是否已经执行结束:   #如果有程序在make,则等待make结束 cnt=`ps -ef|grep "make"|grep "all"|grep -v grep|grep -v vi|wc -l` echo $cnt do    
Linux下sqlplus显示乱码
evilstar2015的专栏
03-19 7112
1、现象        在公司项目中,由于字符集全部采用的utf-8编码,SecurCRT采用utf-8字符集,导致脚本文件、代码中的汉字全部显示乱码。 将上述文件的编码格式全部转换为 UTF-8格式另存,重新刷脚本、编译,中文字符能够正常显示。 但是,发现在提取数据时,中文还是乱码。 通过sqlplus连接数据库,提取数据,也是乱码。说明系统的字符集与oracle数据库的字符集不一致。
linux服务器/bin/bash误删的后果
evilstar2015的专栏
03-09 6183
1、该文件删除后,/etc/init.d/目录下的几乎所有服务都无法启动。  使用 service sshd start 启动或停止服务时,报错: env: /etc/init.d/sshd : no such file or directory 单独启动某个服务,执行/etc/init.d/目录下的服务时,也无法启动: $ ./sshd restart /bin/bash: no su
shell中记录运行时间的一种方法
evilstar2015的专栏
03-16 5652
可以使用`date +%s`命令,该命令显示 从某一年(1970)开始到现在的 秒数。   #在shell开始处, START_TIME=`date +%s`     #在shell结尾处, END_TIME=`date +%s`   EXECUTING_TIME=`expr $END_TIME - $START_TIME` echo $EXECUTING_TIME
linux 用户登陆全部记录,Linux—— 记录所有登陆用户的历史操作记录
05-16
Linux系统可以通过记录系统日志文件来记录所有用户登录历史操作记录。一般来说,系统管理员会设置系统日志记录服务,将日志文件保存在/var/log目录下。以下是记录所有登录用户的历史操作记录的方法: 1. 查看/var/log目录下的wtmp文件,该文件记录了所有用户登录和注销记录。 命令:last 2. 查看/var/log目录下的auth.log文件,该文件记录了所有用户通过SSH远程登录系统的记录。 命令:grep sshd /var/log/auth.log 3. 查看/var/log目录下的btmp文件,该文件记录了所有无效登录尝试的记录。 命令:lastb 4. 查看/var/log目录下的syslog文件,该文件记录了系统的所有日志信息。 命令:cat /var/log/syslog 以上命令可以通过Linux系统的终端或者通过SSH远程登录系统来执行。系统管理员还可以通过配置系统日志记录服务,定期清理日志文件,以避免日志文件过大导致系统存储空间不足的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员柒叔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值