操作审计配置详解

最新推荐文章于 2022-10-06 15:25:09 发布
最新推荐文章于 2022-10-06 15:25:09 发布
阅读量205 收藏
点赞数
文章标签: shell 开发工具
原文链接:http://www.cnblogs.com/Peter2014/p/7668024.html
版权

操作过程

vim /etc/bashrc

在结尾添加

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`] "$msg"; }' 

!!! 如果使用的是微软Edge浏览器,注意不要复制,有格式问题。推荐使用Firefox、Chrome等浏览器查看。

/etc/bashrc 是什么?

# /etc/bashrc

# System wide functions and aliases
# Environment stuff goes in /etc/profile

显然,/etc/bashrc针对bash进行别名和函数的设置;/etc/profile针对系统进行环境变量的设置。

PROMPT_COMMAND是什么?

PROMPT_COMMAND是/etc/bashrc中的一个特殊变量,PROMPT_COMMAND='命令',该命令会在bash提示符#或者$出现前执行,简单说就是每敲一次回车,这个命令就执行一遍,所以可以拿来做操作审计。

{}有什么用?

{}定义了一个代码块,也叫内部组,实际上创建了一个匿名函数。与小括号中的命令不同,大括号内的命令不会新开一个子shell运行,即脚本余下部分仍可使用括号内变量。括号内的命令间用分号隔开,最后一个也必须有分号。{}的第一个命令和左括号之间必须要有一个空格。习惯两边都加上空格。

logger是什么?

logger是一个记录日志的命令,默认记录在/var/log/messages;

/var/log/messages日志格式

从左到右分别是:

月    日      时分秒      主机名      进程名   PID       日志内容

命令详解

msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`] "$msg";

 首先获取最近的一条命令的历史记录即上一条命令

read 从标准输入读取并将1001赋给x,将history 1赋给y;然后打印y的值并赋给变量msg

logger命令后面接日志内容

$(whoami)表示命令的执行者是谁

$(who am i)表示登录者是谁以及终端 时间 IP

`pwd` 表示当前目录

$msg 表示前面记录下来的操作

最终的结果如下:

 

转载于:https://www.cnblogs.com/Peter2014/p/7668024.html

weixin_30244889
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BASH脚本基础:环境变量PROMPT_COMMAND介绍
知行合一 止于至善
01-30 1万+
PS1-PS4介绍了一些用于提示信息控制的环境变量,而在此之前可以进行回调的一个环境变量就是PROMPT_COMMAND,这个环境变量中设定的内容将在交互式脚本的提示(PS1)出现之前被执行。
Linux中多种方法实时记录历史命令
weixin_34080903的博客
09-10 941
系统中的历史命令对于后期排除故障非常有用。一般都需要把历史命令给保存起来。方法1:实时记录历史命令到bash_history,不记录日志文件中[root@bing~]#vim /etc/bashrcexport HISTTIMEFORMAT='%F %T ' #让历史命令记录操作时间export HISTSIZE=1000000 ...
对用户进行操作日志审计
机器重启员的博客
10-13 6980
Linux下利用日志对用户进行操作审计为了服务器的安全,以及避免日常运维中的一些误操作
linux审计原理,Linux操作行为审计
weixin_39945816的博客
05-13 254
一 使用[PROMPT_COMMAND]变量 实现审计操作行为功能【实现原理】在bash里设置环境变量PROMPT_COMMAND,这个命令会在用户提示符之前被执行,可以用来记录用户操作历史【实现步骤】1、创建行为审计日志文件touch/var/log/Command_history.log2、将日志文件的所有者改为权限低的用户NOBODYchownnobody:nobody/var/log/...
Linux 审计用户执行的命令
iamwayne10的博客
01-15 803
Linux系统中需要对用户输入的命令进行审计记录,系统自带有 history 功能,但是默认显示的内容有限,且 root 用户需要要看全部用户的操作记录,需要查看所有用户 home 目录下的 .bash_histroy 文件,而且默认查看到的 histroy 命令记录所记录的信息有限,只有命令内容,没有记录所运行的时间、当时登录执行操作的来源 ip ,无法满足实际的审计需求。 默认能使用 shell 的用户基本都是 bash shell ,bash 有一个内置的环境变量 PROMPT_COMMAND,这个环
Linux利用PROMPT_COMMAND实现操作记录messages
技术成就梦想
09-06 4124
export PROMPT_COMMAND='{ msg=$(history 1|{ read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg";}' root@salt-zabbix init]# tail /var/log/messages Sep  6 16:52:57 salt-zabbix
linux内核配置make-menuconfig菜单详解.doc
11-22
Linux 内核配置 Make Menuconfig 菜单详解 Linux 内核配置是 Linux 操作系统的核心组件之一,对于 Linux 的性能和安全性有着至关重要的影响。在 Linux 内核配置过程中,Make Menuconfig 菜单是一个非常重要的组件,...
TCP/IP详解
07-25
12.2 操作机制 112 12.2.1 计算距离向量 113 12.2.2 更新路由表 116 12.2.3 寻址问题 118 12.3 拓扑变化 120 12.3.1 收敛 120 12.3.2 计值到无穷 122 12.4 RIP的限制 127 12.4.1 跳数限制 128 12.4.2 固定度量 128 ...
安防天下智能网络视频监控技术详解与实践part2
09-05
4.3.8 用户操作日志审计 107 4.4 dvr的应用架构 107 4.4.1 单机工作模式 107 4.4.2 模数混合架构 108 4.4.3 多机联网模式 109 4.5 dvr的亮点功能 111 4.5.1 dvr的多码流技术 111 4.5.2 视频分析技术...
安防天下智能网络视频监控技术详解与实践.part3
09-01
4.3.8 用户操作日志审计 107 4.4 dvr的应用架构 107 4.4.1 单机工作模式 107 4.4.2 模数混合架构 108 4.4.3 多机联网模式 109 4.5 dvr的亮点功能 111 4.5.1 dvr的多码流技术 111 4.5.2 视频分析技术应用 113 ...
Linux利用PROMPT_COMMAND实现审计功能
yes_is_ok的博客
05-24 1819
Linux利用PROMPT_COMMAND实现审计功能 这个系统审计,记录什么用户,在什么时间,做了什么操作。 然后将查到的信息记录到一个文件里。 一. 配置 1. 在/etc/profile 文件的最后,添加如下2行代码: export HISTORY_FILE=/var/log/history/`date '+%Y%m'`.log export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\".
关于command prompt命令指示符的一些笔记
Forever的博客
10-30 5572
大前提: 对于大小写不敏感 1  cd(change directory)改变路径           只能在当前的盘符里进行操作      刚打开是显示的是 盘符:\Users\username(实际的用户名)      cd\ 命令可以将路径改为盘符的顶部目录      cd.. 命令将当前路径进行回退一级      cd+lujing  将当前路径改为lijing所指
【转】Linux 利用 PROMPT_COMMAND 实现审计功能
weixin_30947043的博客
12-05 145
linux历史命令记录在history,在用户退出的时候写入,不过有时候可以直接绕过去,不让写入,比如shutdown now,还有在一些情况下也是不予保存的,这让人很头疼使用PROMPT_COMMAND可以在用户输入一条命令,就直接记录, export HISTORY_FILE=/var/log/history/`date '+%Y-%m-%d'`.log export PROMPT_CO...
linux amp 日志,Linux下使用rsyslog部署日志服务器 && 记录history并发送到rsyslog服务器,linuxrsyslog...
weixin_29701553的博客
05-11 188
Linux下使用rsyslog部署日志服务器 && 记录history并发送到rsyslog服务器,linuxrsyslog一、syslog服务简介rsyslog 是一个 syslogd 的多线程增强版。rsyslog负责写入日志, logrotate负责备份和删除旧日志, 以及更新日志文件logger命令将自定义的信息写入到本地日志系统需要用到:logger 命令logger 是...
审计的实现和使用
再烦,也别忘微笑;再急,也要注意语气;再苦,也别忘坚持。
06-23 4092
审计的实现和使用 NAME: cherryc DATE: 2017/11/20 目前做Gxp项目,客户需要审计日志模块,即对用户的操作进行记录,主要是增删改操作。 由于框架用的是Spring+SpringMVC+Mybatis,其中Mybatis中的拦截器可以选择在被拦截的方法前后执行自己的逻辑。所以我们通过拦截器实现了审计功能,当用户对某个实体类进行增删改操作时,...
数据库审计+审计内容+操作的跟踪记录+审计的类型
zhou920786312的博客
05-27 5314
数据库审计 审计 1审计是指对用户所执行的数据库活动做跟踪记录,它是数据库管理系统安全性的重要部分,通过审计功能,与数据库安全相关的操作均可被记录下来。 审计内容 1数据库连接操作的跟踪记录 2SQL语句执行操作的跟踪记录 3数据库对象访问操作的跟踪记录 oracle系统对任何用户所做的登录,操作数据库对象进行自动记录,方便数据管理员在事后进行监督和检查.操作的跟踪记录 1审查可疑活
日志审计功能配置
Jie_Chang的博客
10-06 3223
日志审计
linux执行命令带时间戳,Linux history 命令记录加执行时间戳以及记录到日志
weixin_36330704的博客
04-28 390
命令记录加执行时间export HISTTIMEFORMAT="%F %T `whoami`"效果如下:25 2017-06-06 10:17:07 louisifup enp0s326 2017-06-06 10:17:07 louissu - root27 2017-06-06 10:17:07 louisifconfig28 2017-06-06 10:17:07 louisping...
linux prompt模式,Linux利用PROMPT_COMMAND实现操作记录的功能
weixin_42339801的博客
05-13 1480
Linux中的PROMPT_COMMAND会记录下出现提示符前面的命令,利用这个特性可以实现记录所有用户的操作记录。root用户身份下,进行以下操作vi /etc/profile#在最后一行追加以下环境变量export HISTORY_FILE=/var/log/`date '+%y-%m-%d'`.logexport PROMPT_COMMAND='{ date "+%y-%m-%d %T ##...
linux日志审计配置
最新发布
05-26
在Linux系统中进行日志审计可以帮助管理员更好地了解系统的运行状况和发现潜在的安全问题。下面是一个简单的步骤,用于配置Linux系统的日志审计。 1. 安装 audit 工具 在大多数 Linux 发行版中,audit 工具已经预安装。如果没有,可以使用以下命令安装: ``` sudo apt-get install auditd # Debian/Ubuntu sudo yum install audit # CentOS/RHEL ``` 2. 配置审计规则 审计规则用于确定哪些事件需要被记录下来。可以编辑 /etc/audit/rules.d/audit.rules 文件来定义审计规则。这个文件可能已经存在了,如果不存在,可以手动创建。 以下是一个例子: ``` # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the init scripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192 # Feel free to add below this line. See auditctl man page # for more information ``` 3. 启动 auditd 服务 配置完成后,启动 auditd 服务: ``` sudo systemctl start auditd ``` 4. 查看审计日志 审计日志存储在 /var/log/audit/audit.log 文件中。可以使用以下命令来查看日志: ``` sudo ausearch -i -ts today ``` 这将显示今天发生的所有审计事件。可以使用其他选项来指定时间范围、事件类型等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值