Rsyslog 审计非root用户执行sudo命令并记录日志

最新推荐文章于 2024-03-06 10:07:42 发布
最新推荐文章于 2024-03-06 10:07:42 发布
阅读量675 收藏
点赞数
分类专栏: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36171533/article/details/93413949
版权 
运行环境:Debian 9

apt install sudo 
apt install rsyslog

检查运行状态
systemctl status rsyslog


设置文件的路径
echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers

错误级别写入配置文件
echo "local2.debug /var/log/sudo.log" >>/etc/rsyslog.conf

启动服务
systemctl restart rsyslog


开始监听
/var/log/sudo.log

新开一个窗口,切换非root用户

su - jesse   su - 是以jesse 的纯环境变量开始运行

测试一个sudo 命令

sudo apt install apache


检查监控的日志

root@debian:~# tail -l /var/log/sudo.log 
Jun 23 22:05:54 : jesse : command not allowed ; TTY=pts/1 ; PWD=/home/jesse ;
    USER=root ; COMMAND=list
root@debian:~# tail -f /var/log/sudo.log 
Jun 23 22:05:54 : jesse : command not allowed ; TTY=pts/1 ; PWD=/home/jesse ;
    USER=root ; COMMAND=list
Jun 23 22:06:47 : jesse : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/jesse ;
    USER=root ; COMMAND=/usr/bin/apt install apache

可以发现,已经被完整的记录

 

JESSE_JAVA
关注
专栏目录
sudo日志记录记录(rsyslog)
weixin_34037977的博客
07-24 209
1,查软件 rpm -qa|egrep "sudo|rsyslog" 2,编辑sudoers echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers tail -1 /etc/sudoers visudo -c 3,编辑rsyslog并重启服务[root@lnmp ~]# tail -1 /etc/rsyslog.co...
RSYSLOG没那么简单
weixin_34348805的博客
01-25 163
定义系统默认的日志收集还算EASY。 但如何在公司项目里要配置程序员们写的自定义日志,那可能就要用到LOCAL及FILTER过滤这些东东了。。。 慢慢走吧。。 收集URL备用,都是讲LOCAL,TEMPLAT,FILTER比较好的CASE: http://blog.sina.com.cn/s/blog_4a80a5730101m2b3.html http://my.oschina.net...
第二十一天-linux用户行为日志审计方案
weixin_30399871的博客
12-03 618
今日笔记:我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录执行命令相关信息。 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令用户的操作。 1、安装sudo命令,syslog服务(centos6.4为rsyslog服务) [xiaorui@lrz ~]$ rpm -qa|egrep "sudo|syslog" r...
Linux系统日志管理-- rsyslog
最新发布
weixin_44705391的博客
03-06 3736
rsyslog
rSyslog日志
DM的个人练习
07-11 1816
rsyslog
rsyslog所有用户日志审计
12-22
rsyslog所有用户日志审计是指通过rsyslog来收集和记录所有用户日志信息,包括普通用户root用户。这种日志审计可以帮助管理员追踪用户的操作记录,检测潜在的安全威胁和问题。 rsyslog简介 rsyslog是一个开源的...
centos 日志审计_centos6 配置sudo命令日志审计
weixin_33479446的博客
01-17 819
配置sudo命令日志审计说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令用户的操作。项目实战:服务器日志审计项目提出与实施权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案。通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器)、实施后,让所有运维和开发的所有执行的sud...
服务日志审计项目详细笔记文档总结
07-02
最后,测试sudo命令审计功能,切换到`shi`用户执行sudo命令。如果没有其他用户执行sudo命令,`/var/log/sudo.log`文件将保持为空。当有sudo命令执行时,相应的日志条目就会出现在这个文件中,提供详细的命令...
Linux 审计日志记录,linux日志服务器审计客户端history记录
weixin_35403151的博客
05-03 1147
需求将每台服务器上的每一个用户执行命令执行时间、登陆时间、主机ip、当前切换用户等信息保存到本地并实时传输至日志服务器进行异地保存。nginxIPhostname角色10.10.99.1test1rsyslog-server10.10.99.2test2rsyslog-client工具及服务1.loggerlogger是一个shell接口,能够经过该接口使用rsyslog日志模块。webus...
centos 日志审计_生产环境日志审计
weixin_35728286的博客
01-17 777
日志审计,就是记录所有系统和相关用户行为的信息,并且可以自动分析,处理。在中小企业环境中,一般都是在单个服务器上记录日志,而大型企业的生产环境当中,会有专门的日志服务器乃至集群。本文通过sudo配合centos自带的rsyslog(syslog)服务,进行日志审计。项目描述:1.权限控制后进一步实施对所有用户日志记录方案2.通过sudo 和syslog配合实现对所有用户进行日志审计并将记录集中管理...
logrotate配置文件
weixin_30516243的博客
07-10 293
以nginx为例 /var/log/nginx/*log { create 0644 nginx nginx daily rotate 10 missingok notifempty compress sharedscripts postrotate /bin/kill -USR1 `cat /...
rsyslog服务的启动命令
Small_Casee的博客
05-10 2366
执行命令后,如果rsyslog服务已经启动,则会显示服务状态信息,如Active: active (running)。如果rsyslog服务尚未启动,则会显示服务状态信息为Inactive (dead)。这样rsyslog服务就会在启动系统时自动启动。
配置sudo命令用户行为日志审计
m0_68622213的博客
05-25 641
所谓日志审计就是通过sudo日志服务rsyslog(centos5 是 syslog)的配合使用,记录用户使用sudo命令日志。具体方法如下: 1. 确认rsyslog (syslog) 服务已开启,查询一下服务的状态 [root@192 ~]# service rsyslog status rsyslogd (pid 908) 正在运行... 2. 在/etc/sudoers 配置文件中加入一个 sudo命令记录日志文件 [root@192 ~]# echo 'Defaulst log..
rsyslog配置输出文件权限、用户组、所有者
qq_32778651的博客
08-27 3252
配置rsyslog服务器收集网络设备的syslog信息,输出到指定的路径,通过logstash读取到es并在Kibana中展示,ES未获取数据,后发现syslog输出的文件logstash并无读取权限。 后追加配置(https://www.rsyslog.com/doc/v8-stable/_downloads/rsyslog-example.conf) $umask 0000 $...
rsyslog 日志服务器接收日志权限问题
zhaoyangjian724的专栏
09-27 4834
rsyslog 权限; 默认 [root@dr-mysql01 zjzc_log]# ls -ltr zj-frontend0*-access*27 -rw------- 1 root root 322 Sep 27 07:55 zj-frontend02-access.2016-09-27 600 $FileOwner elk $FileGroup elk $FileCreateMode
Linux搭建syslog日志服务器
热门推荐
小达达
11-10 1万+
Linux搭建syslog日志服务器 1、syslog服务端搭建 修改/etc/rsyslog.conf文件,本次采集目标为UDP修改下面的配置 输入Linux命令sudo vim /etc/rsyslog.conf # Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 找到以上两个模块,去掉前面注释, :wq 保存退出。 额外配置:在配置文件开头定义内容输出格式作为模板myFormat $temp.
Linux 实战篇-CentOS sudo配合rsyslog日志审计
m0_47760818的博客
06-16 334
使用命令如下: rpm -qa| grep sudo 列出所有被安装的rpm package rpm -qa 注释: rpm 命令详解 rpm命令是RPM软件包的管理工具。 RPM有多种基本的模式:它们是安装、查询、验证、删除等。 安装模式:rpm –i 查询模式:rpm -q 验证模式:rpm –V或 -verify 删除模式:rpm –e yum insatll sudo -y 安装sudo包 -y 如果不使用-y安装时会提示是否安装 y or n 使用-y则直接选择y mkdir -p 新
rsyslog记录用户历史操作
weixin_34309435的博客
03-19 341
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[pwd]"$msg"; }' vim /etc/yum.repos.d/logstash.repo [logstash-6.x] name=Elastic repository for 6...
利用rsyslog 配置用户行为日志审计
Amos.zheng's Blog
05-09 1726
在/etc/profile.d/建立一个clinet.sh文件 vim /etc/profile.d/client.sh 输入: export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger -p local4.info ["LOCAL|`grep IPADDR /etc/sysconfig/network
利用rsyslog 对Linux用户进行审计
06-07
可以通过配置rsyslog来对Linux用户进行审计。具体步骤如下: 1. 安装rsyslog 在Linux系统上执行以下命令: ``` sudo apt-get update sudo apt-get install rsyslog ``` 2. 配置rsyslog 编辑rsyslog配置文件/etc/rsyslog.conf,添加以下内容: ``` # Log all user activities auth.* /var/log/user.log ``` 这样就会将所有用户活动记录到/var/log/user.log文件中。 3. 重启rsyslog服务 执行以下命令来重启rsyslog服务: ``` sudo systemctl restart rsyslog ``` 之后,所有用户活动都将被记录在/var/log/user.log文件中,包括用户登录、注销、执行命令等。可以通过查看日志文件来审计用户的活动记录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值