向linux添加审计日志的功能

最新推荐文章于 2023-10-30 23:26:00 发布
最新推荐文章于 2023-10-30 23:26:00 发布
阅读量350 收藏
点赞数
分类专栏: Linux 文件系统 安全加固
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37292415/article/details/114444642
版权

在/etc/profile添加如下变量

HISTSIZE=1000
HISTTIMEFORMAT="%Y/%m/%d %T   "
export HISTTIMEFORMAT
export HISTORY_FILE=/etc/audit.log
export PROMPT_COMMAND='{ thisHistID=`history 1|awk "{print \\$1}"`;lastCommand=`history 1| awk "{\\$1=\"\" ;print}"`;user=`id -un`;whoStr=(`who`);realUser=${whoStr[0]};logMonth=${whoStr[2]};logDay=${whoStr[3]};logTime=${whoStr[4]};pid=${whoStr[6]};ip=${whoStr[7]};if [ ${thisHistID}x != ${lastHistID}x ];then echo -E `date "+%Y/%m/%d %H:%M:%S"` $user"("$realUser")"@$ip[PID:$pid][LOGIN:$logMonth $logDay $logTime] --- $lastCommand ;lastHistID=$thisHistID;fi; } >> $HISTORY_FILE'

实时生效:
source /etc/profile
然后在/etc/audit.log就可以查看所有用户的历史操作

ltpforever
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统安全:Linux安全审计Linux日志详解
wangyuxiang946的博客
04-26 5712
这篇文章给大家介绍Linux用来做安全审计日志有哪些,解析日志字段含义。
Linux系统日志审计
ShenZ的博客
01-11 1739
Linux系统日志审计日志子系统1.连接时间日志auth.log / secure SSH登录日志2.进程统计3.错误日志其他日志安装日志 日志子系统 在Linux系统中,有三个主要的日志子系统: 1.连接时间日志 登陆系统的时间和IP 记录文件:/var/log/wtmp和/var/run/utmp,login auth.log / secure SSH登录日志 auth.log: 会记录ssh登陆的IP和端口 cat auth.log |grep Accepted SSH登录日志 : secure(
centos 日志审计_Linux开启日志审计功能
weixin_32822843的博客
02-06 3462
将下面这段内容添加在/etc/profile文件末尾,执行source /etc/profile使之生效。HISTSIZE=1000HISTTIMEFORMAT="%Y/%m/%d %T ";export HISTTIMEFORMATexport HISTORY_FILE=/var/log/audit.logexport PROMPT_COMMAND='{ thisHistID=`history ...
Linux服务器审计日志实时报警
小树苗
03-26 657
环境:centos7目录结构如下: [root@HikvisionOS local]# touch new.txt [root@HikvisionOS local]# cat new.txt /var/local/mon.log [root@HikvisionOS local]# ll total 20 -rw-r--r-- 1 root root 426 Mar 19 10:26 diff_file.py -rw-r--r-- 1 root root 1035 Mar 19 10:20 mail_s...
Linux开启审计操作日记(history格式)
Fadess的博客
07-27 1289
history配置、Linux操作日记配置、Linux记录操作日志
Linux历史操作记录审计.docx
06-17
为了改进这一点,我们可以进行一些配置以增强日志审计功能。 首先,我们可以设置`HISTTIMEFORMAT`环境变量,以便在历史记录中包含命令执行的时间。例如,设置`export HISTTIMEFORMAT='%F %T '`会在每个命令前添加...
Linux audit 日志审计服务安装及使用
01-12
* `auditspd`:转发事件通知给其他应用程序,而不是写入到审计日志文件中。 * `autrace`:一个用于跟踪进程的命令。 * `/etc/audit/auditd.conf`:auditd 工具的配置文件。 添加审计规则 可以使用 `auditctl` 工具...
rsyslog所有用户日志审计
12-22
对于普通用户的日志审计,可以使用bash的history功能来记录用户的命令操作记录。在上面的部分内容中,添加了以下命令: vim /etc/profile 在/etc/profile 末尾添加export HISTORY_FILE=/var/log/userAudit.log ...
Linux操作系统之安全审计功能-Audit
10-10
本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何通过RPM包安装和启用审计功能。 Audit系统是一个强大的工具,它能够记录并分析系统的各种活动,包括用户...
Linux审计功能的分析和扩展.pdf
09-07
2. 审计数据的安全保护和访问控制,确保只有经过身份验证的用户才能访问审计日志,防止非法访问。 LKM是Linux操作系统为扩展其功能提供的一种机制,允许动态加载模块,无需重新编译整个内核。通过insmod命令可以...
Linux日志审计
05-17 5041
Linux日志审计 常用命令 find、grep 、egrep、awk、sed Linux 中常见日志以及位置 位置 名称 /var/log/cron 记录了系统定时任务相关的日志 /var/log/auth.log 记录验证和授权方面的信息 /var/log/secure 同上,只是系统不同 /var/log/btmp 登录失败记录 使用lastb命令查看 /var/log/wtmp 登录失成功记录 使用last命令查看 /var/log/lastlog 最后一次登录
X18-操作系统 linux日志审计
h1825819493的博客
05-19 868
路径:/etc/logrotate.conf正常普通程序服务都可以通过这四个设置进行配置这两个文件的优先级高于上面的优先级。
linux 开启审计功能及规则配置
m0_74282605的博客
02-09 2312
【推荐阅读】#查询审计功能#审计日志文件目录#编辑审计配置文件加入以下配置规则:#自定义审计规则#重启审计服务#查询审计配置规则。
LINUX日志审计
2302_77424749的博客
05-06 1133
5.在状态码前面可查看该账户访问过的文件夹,状态码后面可查看该账户所使用的浏览器客户端页面的来源地址以及浏览器类型和版本号等信息以便溯源。5.btmp日志:记录了登录失败的登录信息,需要使用 lastb 进行查看。1.首先可看登录次数较多的IP地址以及账号,查看非本地IP地址或者异常IP,是否有尝试破解登录等操作。3.utmp日志:记录了当前正在登录的系统的信息,需要使用 who 命令或者 w 命令。4.wtmp日志:记录了当前和历史登录的用户信息,需要使用 last 命令进行查看。
Linux系统三级测评
qq_20961933的博客
10-10 501
主要安全问题:操作系统安装了完整性检查组件tripwire,也在/etc/crontab(系统级)中配置了定时检查策略0 11 * * * root /usr/sbin/tripwire –check >> /var/log/tripwire.log,单tripwire配置存在异常,无法在每天上午11点正常对系统服务器/usr/sbin/中重要程序的完整性进行检测,违反安全策略。我第一眼也没发现有什么问题,但是我可能用了点小聪明,我把地址改成了104,发现还是能上,那么问题就来了,配置肯定哪里配置错了。
15、Linux日志审计
最新发布
carmi的博客
10-30 107
Linux日志审计 目录Linux日志审计1、日志文件的功能和分类2、日志文件保存位置和文件介绍3、管理日志服务的配置文件4、内核及系统日志5、日志消息的级别6、日志记录的一般格式7、用户日志分析8、程序日志分析9、日志服务器搭建10、补充1、日志文件的功能和分类 日志功能 用于记录系统、程序运行中发生的各种事件。 通过阅读日志,有助于诊断和解决系统故障日志。 文件的分类 1、内核及系统日志:...
日志审计功能配置
Jie_Chang的博客
10-06 3306
日志审计
Linux审计日志
热门推荐
mhmds的专栏
12-02 1万+
最近在Linux日志中发现有如下信息: vi /var/log/messages type=CRYPTO_KEY_USER msg=audit(1448528863.866:163): user pid=7735 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=d
linux审计功能开启
05-25
Linux 审计功能可以记录系统中发生的各种事件,如用户登录、文件访问、进程创建等等。以下是开启 Linux 审计功能的步骤。 1. 检查系统是否安装了 auditd 包。如果没有,可以通过以下命令安装: ``` sudo apt-get update sudo apt-get install auditd ``` 2. 启动 auditd 守护进程,并设置为开机自启: ``` sudo systemctl start auditd sudo systemctl enable auditd ``` 3. 配置审计规则。可以通过编辑 `/etc/audit/audit.rules` 文件来添加规则。例如,以下规则会记录所有用户登录事件: ``` -w /var/log/faillog -p wa -k logins -w /var/log/lastlog -p wa -k logins ``` 4. 重新加载审计规则: ``` sudo auditctl -R /etc/audit/audit.rules ``` 现在,Linux 审计功能已经开启,并且会记录符合规则的事件。可以通过 `ausearch` 命令来搜索并查看审计日志。例如,以下命令将显示所有登录事件的详细信息: ``` sudo ausearch -k logins ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值