该文章描述了如何在CentOS中启用系统日志审计,通过编辑/etc/profile文件,添加相关环境变量来记录登录用户、IP、操作时间和命令,并使用logger工具将这些信息写入日志文件/var/log/messages。执行source/etc/profile后,系统开始记录用户的详细操作日志。
centos 启用系统日志审计
编辑文件
vi /etc/profile
末尾插入
export L_USER=`who am i | awk '{ print $1 }'` export L_IP=`who am i | awk '{ print $5 }' | sed 's/[()]//g'` LOGINMSG=[$(date "+%F %T")][L_USER:${L_USER}][${L_IP}][E_USER:$(whoami)]***login*** logger -p local1.info "$LOGINMSG" export HISTTIMEFORMAT="[%F %T] " export PROMPT_COMMAND='{ CMD_TIME=$(history 1|{ read n date time cmd; echo "$date $time"; }); CMD=$(history 1|{ read n date time cmd; echo "$cmd"; });logger -p local1.info "${CMD_TIME}[L_USER:${L_USER}][${L_IP}][E_USER:$(whoami)]$CMD"; }'
运行
source /etc/profile
查看日志文件
cat /var/log/messages
以上对用户的操作详细记录包括时间,用户,操作命令,等
3472
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
