有些时候需要用到堡垒机,但要知道用户都用那些命令操作过。

rsyslog属性的名称中以$开头的是从本地系统获得的变量、不带$是从消息中获得变量


一、先配置系统变量记录SSH命令,并生成文件,位置/var/log/ssh.log。

#vi /etc/profile.d/ssh.sh  //创建一个文件ssh.sh脚本去存放变量
export HISTORY_FILE=/var/log/ssh.log
export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >> $HISTORY_FILE'####

创建完文件要生效一下。

#source /etc/profile.d/ssh.sh

以上配置成功后可以查看/var/log/ssh.log文件来显示。

#tail -f /var/log/ssh.log#####

wKiom1cV7wzSVJEdAAA6g2pKYTY555.jpg


注意:如果希望按时间去生成文件可以修改ssh.sh里的ssh.log改成`date '+%F'`.log这样就会按天来保存了,如果需要时间请去查看LINUX短格式修改

export HISTORY_FILE=/var/log/ssh-`date '+%F'`.log  //注意date也被单引号包括起来了

wKiom1cV8_2hoLeRAAAhprnMMsU649.jpg


二、添加rsyslog模块上传

vi /etc/rsyslog.d/ssh-log.conf
# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####
### 注意 ###
#配置文件中的中文注释为方便初学者,并非官方提供,中文注释可能会引起奇怪的问题。
#建议:在使用中删除所有的中文注释,如需注释可以用英文(实在不行就拼音)

#装载imfile模块
$ModLoad imfile

#检查日志文件间隔(秒)
$InputFilePollInterval 1

#指定日志文件的拥有者
$FileOwner root

# 使用自定义的格式
$ActionFileDefaultTemplate myformat

#状态文件保存路径,文件被用来记录扫描日志位置等信息。
#在测试中服务器收集不到日志,是因为被扫描过的文档不会再次上传,可以清空该目录缓存
$WorkDirectory /var/spool/rsyslog

# 定义队列文件名
#$ActionQueueFileName relpact

# 重试次数, -1 表示无限重试 
#$ActionResumeRetryCount -1

# rsyslog关闭时将队列内容存盘,防止数据丢失 
#$ActionQueueSaveOnShutdown on
$PrivDropToGroup root

##日志格式模板:
$template BiglogFormatTomcat,"%msg%\n"

## Tomcat的catalina.out路径,根据实际情况修改:
#读取日志文件
$InputFileName /var/log/ssh.log
#写入日志附加标签字符串
$InputFileTag ssh-log
#日志类型,local5必须和日志收集服务器里过滤器facility(local5)里local5名字一样。
$InputFileFacility local5 
#定义记录偏移量数据文件名
$InputFileStateFile stat-ssh-log
#日志等级
$InputFileSeverity info
#回写偏移量数据到文件间隔时间(秒)
$InputFilePersistStateInterval 1
#激活读取,可以设置多组日志读取,每组结束时设置本参数。以示生效。
$InputRunFileMonitor
#提交日志到不同服务器时单独在此指定服务器IP:port,
#如都提交在同一服务器只需在rsyslog.conf里指定一次即可
# local5.*  @@192.168.1.251:514

重启rsyslog服务生效

#service rsyslog restart


附录:LINUX命名短格式参考

  
  %%    一个文字的 %
  %a    当前locale 的星期名缩写(例如: 日,代表星期日)
  %A    当前locale 的星期名全称 (如:星期日)
  %b    当前locale 的月名缩写 (如:一,代表一月)
  %B    当前locale 的月名全称 (如:一月)
  %c    当前locale 的日期和时间 (如:2005年3月3日 星期四 23:05:25)
  %C    世纪;比如 %Y,通常为省略当前年份的后两位数字(例如:20)
  %d    按月计的日期(例如:01)
  %D    按月计的日期;等于%m/%d/%y
  %e    按月计的日期,添加空格,等于%_d
  %F    完整日期格式,等价于 %Y-%m-%d
  %g    ISO-8601 格式年份的最后两位 (参见%G)
  %G    ISO-8601 格式年份 (参见%V),一般只和 %V 结合使用
  %h    等于%b
  %H    小时(00-23)
  %I    小时(00-12)
  %c    按年计的日期(001-366)
  %k    时(0-23)
  %l    时(1-12)
  %m    月份(01-12)
  %M    分(00-59)
  %n    换行
  %N    纳秒(000000000-999999999)
  %p    当前locale 下的"上午"或者"下午",未知时输出为空
  %P    与%p 类似,但是输出小写字母
  %r    当前locale 下的 12 小时时钟时间 (如:11:11:04 下午)
  %R    24 小时时间的时和分,等价于 %H:%M
  %s    自UTC 时间 1970-01-01 00:00:00 以来所经过的秒数
  %S    秒(00-60)
  %t    输出制表符 Tab
  %T    时间,等于%H:%M:%S
  %u    星期,1 代表星期一
  %U    一年中的第几周,以周日为每星期第一天(00-53)
  %V    ISO-8601 格式规范下的一年中第几周,以周一为每星期第一天(01-53)
  %w    一星期中的第几日(0-6),0 代表周一
  %W    一年中的第几周,以周一为每星期第一天(00-53)
  %x    当前locale 下的日期描述 (如:12/31/99)
  %X    当前locale 下的时间描述 (如:23:13:48)
  %y    年份最后两位数位 (00-99)
  %Y    年份
  %z +hhmm              数字时区(例如,-0400)
  %:z +hh:mm            数字时区(例如,-04:00)
  %::z +hh:mm:ss        数字时区(例如,-04:00:00)
  %:::z                 数字时区带有必要的精度 (例如,-04,+05:30)
  %Z                    按字母表排序的时区缩写 (例如,EDT)




参考文章:

http://www.cnblogs.com/mchina/p/linux-centos-rsyslog-loganalyzer-mysql-log-server.html

http://blog.163.com/ly_89/blog/static/1869022992011756434459/

http://jingyan.baidu.com/article/f25ef25466bffc482c1b82b6.html

http://blog.csdn.net/jk110333/article/details/8590746/