一个监控服务器上所有用户操作并将记录写入日志文件的脚本实现

最新推荐文章于 2024-05-08 11:52:47 发布
最新推荐文章于 2024-05-08 11:52:47 发布
阅读量710 收藏 2
点赞数
分类专栏: 脚本语言 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21688871/article/details/130275135
版权

可以使用 Linux 系统自带的 auditd 工具来监控服务器上的用户操作。auditd 工具可以记录系统上用户的每一个操作,包括命令执行、文件访问、用户登录等等。

#!/bin/bash

# 设置日志文件路径
LOG_FILE="/var/log/user_activity.log"

# 创建日志文件
touch $LOG_FILE

# 启用 auditd 监控
auditctl -w /bin/ -p x -k user_activity
auditctl -w /usr/bin/ -p x -k user_activity
auditctl -a exit,always -F arch=b64 -S execve -k user_activity

# 监控日志
tail -f /var/log/audit/audit.log | while read line
do
    # 判断是否有用户操作
    if [[ $line =~ type=USER_CMD ]]; then
        # 获取用户名
        username=$(echo $line | grep -oP '(?<=uid=)\w+' | head -1)
        # 获取命令
        command=$(echo $line | grep -oP '(?<=comm=")[^"]+' | head -1)
        # 获取时间戳
        timestamp=$(echo $line | grep -oP '(?<=msg=auditd)\S+' | head -1)
        # 将记录写入日志文件
        echo "$(date '+%Y-%m-%d %H:%M:%S') $username $command $timestamp" >> $LOG_FILE
    fi
done

在脚本中,我们首先设置了日志文件路径 $LOG_FILE,然后使用 auditctl 命令启用 auditd 监控,并将记录写入日志文件。最后使用 tail -f 命令监控 auditd 日志文件,并使用 while 循环读取日志记录。在循环中,我们使用正则表达式来解析日志记录中的用户名、命令和时间戳,并将记录写入日志文件中。

要使用该脚本,只需要将其保存到一个文本文件中,例如 user_activity.sh,然后在终端中以管理员权限运行以下命令即可:

bash user_activity.sh

运行脚本后,它会一直在后台运行,监控服务器上的用户操作并将记录写入日志文件。你可以通过查看日志文件来了解服务器上的用户操作记录。

逆风水手
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
@linux查看用户操作记录
ଲ一笑奈@何
04-18 1701
1.使用history命令 history如下所示: 存储的日志文件 ~/.bash_History [root@server ~]# history | head -20 1 passwd root 2 crontab -l 3 crontab -e 4 sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config 5 setenforce 0 6 getenforc
在linux用户下查看当前用户或者历史用户操作记录
firstcode666的博客
02-25 5921
一、查看及管理当前登录用户 1、使用w命令查看登录用户正在使用的进程信息,w命令用于显示已经登录系统的用户的名称,以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括: 用户名称 用户的机器名称或tty号 远程主机地址 用户登录系统的时间 空闲时间(作用不大) 附加到tty(终端)的进程所用的时间(JCPU时间) 当前进程所用时间(PCPU时间) 用户当前正在使用的命令 $ w 23:04:27 up 29 days, 7:51,...
运维最新Shell脚本实战:日志关键字监控+自动告警_linux日志时时监控脚本,2024年最新面试总结
最新发布
2401_83947353的博客
05-08 546
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
15k运维面试题带答案分享_mysql的账号root, 密码123 ,数据库名字test_db
2401_83944596的博客
04-14 579
mysql的账号root, 密码123 ,数据库名字test_db. 端口3310 主机地址 10.10.1.1 请写出备份此数据库的命令。2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?15、讲述一下LVS三种模式的工作过程?
Linux 编写shell脚本记录操作用户日志信息
G925010178的博客
08-31 1968
Linux记录用户操作日志,shell脚本
Shell自动化日志维护脚本
运维密码
09-01 781
简介: 系统日志对于了解操作系统的运行状况、故障排除和性能分析至关重要。然而,长期积累的日志文件可能变得庞大,影响系统性能。在这篇文章中,我们将介绍一个自动化的解决方案,使用 Bash 脚本监控和维护系统日志文件,以确保它们的大小合理,避免磁盘爆满,并保持内容的整洁和高效。 问题背景: 在使用ELK日志收集海量日志时,服务器系统里日志文件会随着时间变的越来越大,如果不定时清...
Python脚本实现Zabbix多行日志监控过程解析
09-16
这可以通过创建一个全局变量`logtxt`并写入一个文件实现。在每次执行脚本时,会读取这个文件获取起始行数。 2. **关键字匹配支持正则**:在日志监控中,我们可能需要匹配多种复杂的模式,因此,脚本支持使用正则...
一个监控LINUX目录和文件变化的Shell脚本分享
09-15
总结来说,这个Shell脚本监控方案提供了基础的目录和文件变化监控功能,对于防止恶意软件活动和监控服务器健康状况非常有用。不过,根据具体需求,可能需要对其进行调整或与其他工具结合使用,以达到最佳的监控效果...
Shell脚本实现分析apache日志中ip所在的地区
09-15
这个脚本的主要目的是提取日志中的IP地址,然后使用nali工具查询它们的位置,并将结果保存到一个文本文件中。以下是一个简单的示例脚本: ```bash #!/bin/bash # 定义文件名 IPSUMFILE=access_ip.log SAVEFILE=ip...
python3.6.5-python脚本实现软硬件监控服务.rar
05-08
总的来说,这个项目提供了一个全面的软硬件监控解决方案,利用Python3.6.5的`psutils`库获取系统信息,通过Redis存储和传输数据,以JSON格式标准化输出,所有操作都在离线环境下完成,确保了数据的安全性和独立性。...
linux下监控用户操作记录-new.pdf
11-04
本文将详细介绍如何在Linux环境下实现用户操作记录监控,并解释所提供的配置文件脚本的工作原理。 首先,确保系统中已经安装了日志守护进程rsyslogd,它负责收集和处理来自不同来源的日志信息。如果rsyslogd未...
linux shell监控应用程序日志报错
04-14
采用shell脚本编写,通过读取配置文件,检测应用程序关键日志是否有更新和检测日志中是否有关键字错误,并输出错误量及相关报错信息,对接至网管的神器
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
inotify异步监控机制
rightlzc的博客
09-12 943
1.inotify简介 inotify是一种强大的,细粒度的,异步的文件系统事件监控机制(软件),linux内核从2.6.13起,加入了Inotify支持,通过Inotify可以监控文件系统中添加,删除,修改,移动等各种事件。 inotify实际是一种事件驱动机制,它为应用程序监控文件系统事件提供了实时响应事件的机制,而无须通过诸如cron等的轮询机制来获取事件。cron等机制不仅无法做到实时性...
Linux下用户操作监控
翼向天开
06-02 2126
Linux下用户操作监控
linux黑客监控,干货 | linux系统行为新型实时监控技术
weixin_36028920的博客
05-15 191
现有系统行为监控实现技术主要采用以下方法:1.Linux Kprobes调试技术Kprobes调试技术是一种专为Linux内核跟踪和调试而设计的特定API。Kprobes允许内核开发人员为任何内核指令以及函数入口和函数返回处理程序安装预处理程序和后处理程序,这些处理程序可以访问并更改寄存器。这样一来,内核开发者们就可以监控系统调用相关工作流程并簿记。利用Kprobes技术,内核开发人员可以在内核...
Linux下监控用户操作轨迹
万博的博客
08-10 1904
Linux下监控用户操作轨迹 在实际工作当中,都会碰到误删除、误修改配置文件等事件。如果没有堡垒机,要在linux系统上查看到底谁对配置文件做了误操作,特别是遇到删库跑路的事件,当然可以通过history来查看历史命令记录,但如果把history记录涂抹掉了,照样啥也看不到了。 不要担心。 linux script命令可以满足我们的需求,script可以记录终端会话,只要是linux6.3以...
linux记录所有用户操作命令
何超杰的博客
12-29 3019
1.在/etc/profile加入如下脚本 PS1="`whoami`@`hostname`:"'[$PWD]' history USER_IP=`who -u am i 2&gt;/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d ...
Linux 记录所有用户登录和操作的详细日志
奔跑的犀牛
03-13 5411
摘要:1、起因最近linux服务器上一些文件呗篡改,想追查已经查不到记录了,所以得想个办法记录下所有用户操作记录。一般大家通常会采用history来记录,但是history有个缺陷就是默认是1000行,当然你也可以vim/etc/profile将1000修改成1000000行,但是这只是比较笼统的做法,看不到详细的用户来源已经操作记录,比如来源ip地址、操作时间、操作用户等。所以我们不得不自己写...
用shell编写一个服务器监控脚本
03-29
以下是一个简单的服务器监控脚本,它会检查服务器的负载、内存使用情况和磁盘空间,并将结果输出到日志文件中。 ```bash #!/bin/bash # 设置日志文件路径 LOG_FILE="/var/log/server_monitor.log" # 获取服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值