可以使用 Linux 系统自带的 auditd
工具来监控服务器上的用户操作。auditd
工具可以记录系统上用户的每一个操作,包括命令执行、文件访问、用户登录等等。
#!/bin/bash
# 设置日志文件路径
LOG_FILE="/var/log/user_activity.log"
# 创建日志文件
touch $LOG_FILE
# 启用 auditd 监控
auditctl -w /bin/ -p x -k user_activity
auditctl -w /usr/bin/ -p x -k user_activity
auditctl -a exit,always -F arch=b64 -S execve -k user_activity
# 监控日志
tail -f /var/log/audit/audit.log | while read line
do
# 判断是否有用户操作
if [[ $line =~ type=USER_CMD ]]; then
# 获取用户名
username=$(echo $line | grep -oP '(?<=uid=)\w+' | head -1)
# 获取命令
command=$(echo $line | grep -oP '(?<=comm=")[^"]+' | head -1)
# 获取时间戳
timestamp=$(echo $line | grep -oP '(?<=msg=auditd)\S+' | head -1)
# 将记录写入日志文件
echo "$(date '+%Y-%m-%d %H:%M:%S') $username $command $timestamp" >> $LOG_FILE
fi
done
在脚本中,我们首先设置了日志文件路径 $LOG_FILE
,然后使用 auditctl
命令启用 auditd
监控,并将记录写入日志文件。最后使用 tail -f
命令监控 auditd
日志文件,并使用 while
循环读取日志记录。在循环中,我们使用正则表达式来解析日志记录中的用户名、命令和时间戳,并将记录写入日志文件中。
要使用该脚本,只需要将其保存到一个文本文件中,例如 user_activity.sh
,然后在终端中以管理员权限运行以下命令即可:
bash user_activity.sh
运行脚本后,它会一直在后台运行,监控服务器上的用户操作并将记录写入日志文件。你可以通过查看日志文件来了解服务器上的用户操作记录。