将history记录到syslog上面,并实时的传送到了远端的日志集中服务器上。
方法:使用bash4.2的新功能:历史命令保存到syslog!然后使用syslog-ng构建集中型日志服务器收集主机日志。
1、下载bash:
#wget http://ftp.gnu.org/gnu/bash/bash-4.2.tar.gz
#tar zxvf bash-4.2.tar.gz –C /tmp/bash-4.2
#cd /tmp/bash-4.2
2、修改源码
(根据个人需要,我只保留了pid,uid,sid等,参数请看目录下的shell.c中):
文件bashhist.c大约708行的位置开始,修改成以下一段:
else
{
strncpy (trunc , line , SYSLOG_MAXLEN ) ;
trunc [SYSLOG_MAXLEN - 1 ] = '\0' ;
syslog (SYSLOG_FACILITY |SYSLOG_LEVEL , "HISTORY (TRUNCATED): PID=%d PPID=%d SID=%d User=%s CMD=%s" , getpid ( ) , getppid ( ) , getsid (getpid ( ) ) , current_user. user_name , trunc ) ;
}
注:
ppid:跟踪sh切换后的用户
Sid: 跟踪 su 切换后的用户
第二段代表log长度超过600后使用的语句
修改config-top.h文件
修改为
#define SYSLOG_HISTORY
编译安装
# ./configure --prefix=/usr/local/bash4 && make && make install
修改用户配置:
将用户的bash换成现在的bash4.2
# vi /etc/passwd
dongwm:x:501:501::/home/dongwm:/usr/local/bash4/bin/bash
或
ln -s /usr/local/bash4/bin/bash /bin/bash(在做连接时需要吧原有的bash删掉)
这样日志就会记在/var/log/messages
结果类似这样:
Dec 23 17: 41: 47 server -bash: HISTORY: PID= 4282 PPID= 4278 SID= 4282 User=root CMD= exit
Dec 23 17: 41: 53 server -bash: HISTORY: PID= 4321 PPID= 4317 SID= 4321 User=root CMD= ssh java00
Dec 23 17: 44:09 server -bash: HISTORY: PID= 2152 PPID= 2137 SID= 2152 User=root CMD= vi Clean_javalog.sh
Dec 23 17: 45: 16 server -bash: HISTORY: PID= 2152 PPID= 2137 SID= 2152 User=root CMD= sh Clean_javalog.sh
Dec 23 17: 45: 30 server -bash: HISTORY: PID= 2152 PPID= 2137 SID= 2152 User=root CMD= cat /dev /shm /cleanJavaLog.log
Dec 23 17: 46:08 server -bash: HISTORY: PID= 2152 PPID= 2137 SID= 2152 User=root CMD= vi Clean_javalog.sh
Dec 23 17: 48: 54 server -bash: HISTORY: PID= 2152 PPID= 2137 SID= 2152 User=root CMD= cat Clean_javalog.sh
......
在整个环境布置了记录功能,就能方便的查出来谁-在何时,用什么账号,做了什么操作...
3、主机syslog配置(添加日志服务器的地址)
# vi /etc/syslog.conf
在最后添加一列:
*.* @server.dongwm.com
4、搭建日志服务器
请参看:http://wenku.baidu.com/view/c3bb49c58bd63186bcebbc7a.html
下图是EventLog收集到的bash历史记录信息
转载于:https://blog.51cto.com/dyland/729956
扫一扫
400
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
