Linux 记录所有用户登录和操作的详细日志

最新推荐文章于 2023-01-19 19:25:33 发布
最新推荐文章于 2023-01-19 19:25:33 发布
阅读量3.5k 收藏 45
点赞数 9
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hfdgjjg/article/details/87885895
版权

分享一下我老师大神的人工智能教程。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

               

 

 

 

1、起因

 

最近linux服务器上一些文件呗篡改,想追查已经查不到记录了,所以得想个办法记录下所有用户的操作记录。

 

一般大家通常会采用history来记录,但是history有个缺陷就是默认是1000行,当然你也可以vim /etc/profile将1000修改成1000000行,但是这只是比较笼统的做法,看不到详细的用户来源已经操作记录,比如来源ip地址、操作时间、操作用户等。

 

所以我们不得不自己写代码来实现这样的功能。

 

2、自动记录脚本

编写脚本如下:

history

 

USER=`whoami`

 

USER_IP=`who -u am i 2>/dev/null| awk  '{print $NF}'|sed -e 's/[()]//g'`

 

if [ "$USER_IP" = ""  ]; then

 

USER_IP=`hostname`

 

fi

 

if [ ! -d /var/log/history ]; then

 

mkdir /var/log/history

 

chmod 777 /var/log/history

 

fi

 

if [ ! -d /var/log/history/${LOGNAME} ];  then

 

mkdir /var/log/history/${LOGNAME}

 

chmod 300 /var/log/history/${LOGNAME}

 

fi

 

export HISTSIZE=4096

 

DT=`date +"%Y%m%d_%H:%M:%S"`

 

export  HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"

 

chmod 600  /var/log/history/${LOGNAME}/*history* 2>/dev/null

 

这个脚本需要放在/etc/profile文件的末尾。这里默认写了记录日志文件的根目录是:/var/log/history,这个目录需要初始化建立,然后通过“exportHISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"

”可以看到记录日志的路径是/var/log/history/${LOGNAME},所以这个目录也需要事先建立,有多少个用户,就要建立多少个目录,而且要把目录的使用权限赋予相对应的用户。

 

而每次用户登录到退出都会产生以用户名、登录ip地址、操作时间为文件名的文件,文件里面包含本次用户的所有操作记录。

 

3、建立初始化目录

先去/home查看有多少个用户

[root@azure_test_static1_11_35 history]#  ll

 

total 28

 

drwxr-xr-x 2 adminuser adminuser 4096 Nov  17 21:53 adminuser

 

drwxr-xr-x 2 fastdfs   fastdfs    4096 Nov 17 21:53 fastdfs

 

drwxr-xr-x 2 loguser   loguser    4096 Nov 17 19:43 loguser

 

drwxr-xr-x 2 nginx     nginx      4096 Nov 17 20:54 nginx

 

d-wx------ 2 root      root      4096 Nov 17 21:53 root

 

drwxr-xr-x 2 tomcat    tomcat     4096 Nov 17 19:42 tomcat

 

drwxr-xr-x 2 zabbix    zabbix     4096 Nov 17 19:42 zabbix

 

[root@azure_test_static1_11_35 history]#

 

 

然后开始建立初始化目录

[root@azure_test_static1_11_35 log]#  mkdir /var/log/history/fastdfs

 

[root@azure_test_static1_11_35 history]#  chown fastdfs:fastdfs fastdfs -R

 

[root@azure_test_static1_11_35 log]#  mkdir /var/log/history/tomcat

 

[root@azure_test_static1_11_35 log]# chown  -R tomcat:tomcat /var/log/history/tomcat

 

[root@azure_test_static1_11_35 log]#  mkdir /var/log/history/zabbix

 

[root@azure_test_static1_11_35 log]#  chown -R zabbix:zabbix /var/log/history/zabbix

 

[root@azure_test_static1_11_35 log]#  mkdir /var/log/history/loguser

 

[root@azure_test_static1_11_35 log]#  chown -R loguser:loguser /var/log/history/loguser

 

[root@azure_test_static1_11_35 log]#  mkdir /var/log/history/adminuser

 

[root@azure_test_static1_11_35 log]#  chown -R adminuser:adminuser /var/log/history/adminuser    

 

 

 

 

 

4、用户登录验证

用其中一个用户fastdfs登录进程操作

[adminuser@azure_test_static1_11_35 ~]$  sudo -i

 

[sudo] password for adminuser:

 

[root@azure_test_static1_11_35 ~]# su -  fastdfs

 

[fastdfs@azure_test_static1_11_35 ~]$ cp  test1.log test3.log

 

[fastdfs@azure_test_static1_11_35 ~]$  echo "test 1"> test3.log

 

[fastdfs@azure_test_static1_11_35 ~]$  echo "1" >> test3.log

 

[fastdfs@azure_test_static1_11_35 ~]$  echo "2" >> test3.log

 

[fastdfs@azure_test_static1_11_35 ~]$  echo "3" >> test3.log

 

[fastdfs@azure_test_static1_11_35 ~]$  more test3.log

 

test 1

 

1

 

2

 

3

 

[fastdfs@azure_test_static1_11_35 ~]$

 

然后退出用户,重新登录进去日志目录/var/log/history/fastdfs/查看有最新的记录,一次用户登录到退出就会保存成一个日志文件记录:

# 进入日志目录

 

[root@azure_test_static1_11_35 fastdfs]#  cd /var/log/history/fastdfs/

 

# 查看有2个操作日志记录

 

[root@azure_test_static1_11_35 fastdfs]#  ll

 

total 8

 

-rw------- 1 fastdfs fastdfs  83 Nov 17 21:53  fastdfs@192.168.120.103_20161117_21:53:16

 

-rw------- 1 fastdfs fastdfs 139 Nov 17  21:59 fastdfs@192.168.120.103_20161117_21:56:47

 

# 打开当前的操作记录日志

 

[root@azure_test_static1_11_35 fastdfs]#  more fastdfs@192.168.120.103_20161117_21:56:47

 

cp test1.log test3.log

 

echo "test 1"> test3.log

 

echo "1" >> test3.log

 

echo "2" >> test3.log

 

echo "3" >> test3.log

 

more test3.log

 

exit

 

[root@azure_test_static1_11_35 fastdfs]#

 

 

PS:可以看到记录的日志和我们的实际操作保持一致。证明我们要的功能实现了。

 

参考文章:http://www.heminjie.com/system/linux/412.html

           

分享一下我老师大神的人工智能教程。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

有点想鲁下
关注
Linux记录操作日志
王家东哥
03-15 2万+
history命令可以查看最近1000条命令。 调整history命令的大小: vi /etc/profile HISTSIZE=1000 #改为 history日志文件默认是保存在.bash_history文件下。 history命令默认是没有时间的,可以在/etc/bashrc文件下追加以下: HISTFILESIZE=2000 HISTSIZE=2000 HISTT...
linux 日志大全
最新发布
jylee的博客
07-26 1077
一、filebeat 日志空格介绍在 filebeat 中,日志空格是指一个文本块中的空白字符。当 filebeat 读取日志文件时,会将日志文本分割成多个每行的文本块,然后解析每个文本块以提取重要信息。在默认情况下,filebeat 使用空格分割日志文本块。如果您的文本块中包含其他分隔符,您可以使用正则表达式或多个分隔符来定义您的分隔符。二、filebeat 设置日志空格在 filebeat 中设置日志空格非常简单。
centos6.X记录所有用户的登录和操作日志
暮色微凉丶的博客
03-26 2315
history USER=`whoami` USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ]; then USER_IP=`hostname` fi if [ ! -d /var/log/history ]; then mkdir /va...
Linux记录用户操作日志
灼烧的疯狂
03-04 3028
Linux记录用户操作记录、配置用户操作记录
linux记录用户登录操作日志.zip_linux查看登录用户
01-07
linux记录用户登录操作日志.日志分析 每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)
linux记录登录用户的详细操作
03-30
### Linux记录登录用户的详细操作 #### 一、背景与需求 在日常的系统维护工作中,确保系统的安全性至关重要。近期,在Linux服务器上发生了一些文件被篡改的情况,这引起了管理员的高度警觉。为了追查问题根源并...
Unix系统用户登录操作命令日志配置方法-(二)+Linux篇+Korn+Shell.doc
12-10
为了记录用户的命令操作,可以通过设置shell的提示符(PS1环境变量)来包含时间戳和其他信息,这样每次用户输入命令时,都会自动记录下来。例如: ```bash export PS1='\u@\h \[\033[32m\]\d \t\[\033[00m\] \$ ' `...
linux账号权限、登录记录日志大小设置
09-28
Linux操作系统中,管理和配置用户权限、登录记录以及日志大小是系统管理的重要部分。本文将详细介绍如何在Linux中创建具有Root权限的普通用户、查看登录日志以及调整系统日志保存天数。 首先,创建一个新的Linux...
Unix系统用户登录操作命令日志配置方法-(二)+Linux篇+C+Shell.doc
12-10
本文将详细讨论如何配置用户登录操作命令日志记录,特别是针对Linux环境,使用C Shell(csh)进行配置的方法。 首先,理解日志系统的基础是必要的。在Unix和Linux中,主要的日志系统包括syslogd和rsyslogd。...
linux 操作历史命令记录,linux记录操作日志
weixin_30798713的博客
04-28 709
这个方案会在每个用户退出登录 时把用户所执行的每一个命令都发送给日志守护进程rsyslogd,你也可通过配置“/etc/rsyslog.conf”进一步将日志发送给日志服务器操作如下:把下面内容添加到/etc/profile文件底部[root@vm17218 /]# vim /etc/profile........#设置history格式export HISTTIMEFORMAT="[%Y-%m-...
linux操作命令日志 记录的方法
sean
09-03 2650
linux终端下,为方便检查操作中可能出现的错误,以及避免屏幕滚屏的限制,我们可以把操作日志记录下来。常用的工具有screen,script,以及tee等。     1. screen — screen manager with VT100/ANSI terminal emulatio     > screen -L     >这里是我们的操作     > exit     结束后会生
linux记录所有用户所有操作日志,linux 记录所有用户bash操作日志
weixin_35931397的博客
05-05 142
Unity3d利用opencv保存游戏视频脚本MyVideoWriter.cs using UnityEngine; using System.Collections; using OpenCvSharp; using OpenCvSharp ...Oracle -----视图视图简介:视图是基于一个表或多个表或视图的逻辑表,本身不包含数据,通过它可以对表里面的数据进行查询和修改.视图基于的表称...
Linux记录所有用户操作的脚本
zj0910
11-01 1752
以实现在Linux下所有用户,不管是远程还是本地登陆,在本机的所有操作都会记录下来,并生成包含“用户/IP/时间”的文件存放在指定位置,方便管理员以后查看不同用户都在服务器上干了些什么! 目前这个代码只实现了记录用户的操作命令,但是像vi编辑只会记录vi这条命令,但是在文件里所修改的内容无法记录。。。有时间再研究一下! 将下面的代码追加到/etc/profile文件里即可 PS1="`who
linux系统下自动记录用户的操作
dxwd的专栏
01-19 1686
在对linux系统进行操作的时候经常多开好几个ssh窗口,执行很多命令,如果操作内容很多,时间一久就会忘记,很有必要把每一次的操作记录保存下来用于日后查看;还有一种情况就是多人协作的场景,经常会出现不同人在同一台服务器上同时操作操作的内容互相影响,这时也非常需要有一个审计日志,可以很方便的查看哪个用户做了什么操作,执行了什么命令。以下是记录 bash 命令日志的参考方法,借此可以实现Linux系统上记录用户操作的审计日志
Linux操作系统记录操作记录的地方
阿鹏的笔记
04-20 1516
清除Linux操作系统里的操作记录:①history -c 命令②~/.bash_history文件 ③/var/log/secure安全日志文件④/var/log/lastlog二进制日志文件⑤/var/log/wtmp二进制日志文件。
linux操作系统日志查看,linux 如何查看系统日志
热门推荐
weixin_35275189的博客
05-01 1万+
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd,默认配置文件为 /etc/syslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。Linux系统内核和许多程序会产生各种错误信息、警告信息和其他的提示信息...
Linux系统用户操作审计配置指南
该资源是关于在Linux CentOS系统中如何进行添加用户操作记录审计的教程。主要步骤包括创建专门的审计用户、修改审计账号权限、授权审计用户、配置系统用户命令操作记录日志以及测试验证整个流程。 1. 创建审计...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值