history linux 日志服务器_Linux 记录所有用户登录和操作的详细日志

最新推荐文章于 2024-07-05 12:31:33 发布
最新推荐文章于 2024-07-05 12:31:33 发布
阅读量714 收藏
点赞数
文章标签: history linux 日志服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39549899/article/details/113012107
版权

1、背景描述

最近有需求,客户有服务器被登录,不知道谁登录的,操作了什么命令,history

linux通常会用history来记录,但是history有个缺陷就是默认是1000行,当然你也可以vim /etc/profile将1000修改成1000000行,但是这只是比较笼统的做法,且history可以清空,看不到详细的用户来源已经操作记录,比如来源ip地址、操作时间、操作用户等。

测试系统:CentOS Linux release 7.4.1708 (Core) (Ubuntu没测试过,请自己照葫芦画瓢)

2、脚本

编写脚本如下:

vi /etc/profile文件,在末尾添加下面脚本:

################begin history log###############

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

HISTDIR=/var/log/history

DT=`date +%Y-%m-%d`

if [ -z $USER_IP ] #如果字符串是空

then

USER_IP=`hostname`

fi

pdf="."

if [[ ! $USER_IP == *${pdf}* ]] #如果ip中不包括点,则用主机名

then

USER_IP=`hostname`

fi

if [ ! -d $HISTDIR ]

then

mkdir -p $HISTDIR

chmod 773 $HISTDIR

fi

if [ ! -d $HISTDIR/${DT} ]

then

mkdir -p $HISTDIR/${DT}

chmod 773 $HISTDIR/${DT}

fi

export HISTFILESIZE=10000 #定义文件中最多只有HISTFILESIZE行

export HISTSIZE=10000 #定义history命令输出的记录数

DT2=`date +%Y%m%d_%H:%M:%S`

export HISTFILE="$HISTDIR/${DT}/${LOGNAME}@${USER_IP}_$DT2"

export HISTTIMEFORMAT="%Y%m%d_%H:%M:%S# "

#chmod 600 $HISTDIR/${DT}/*_* 2>/dev/null

################end history log###############

注意:

1、这里默认写了记录日志文件的默认目录是:/var/log/history(里面文件普通用户没有权限)

2、然后先用root登录一次,然后上面的mkdir /var/log/history会自动创建,切记,如果没有用root,先用admin登录,这会提示错误,因为/var/log目录默认admin没有权限,创建不了。

3、用户登录验证

[root@test-zts ~]# cd /var/log/history/

[root@test-zts history]# ls

2020-01-01

[root@test-zts history]# cd 2020-01-01/

[root@test-zts 2020-01-01]# ls

root@10.36.53.71_20200101_11:41:17 root@10.36.53.71_20200101_11:42:36 root@test-zts_20200101_11:45:59

root@10.36.53.71_20200101_11:41:53 root@10.36.53.71_20200101_11:43:40

[root@test-zts 2020-01-01]# cat root@test-zts_20200101_11:45:59

#1577850366

cd /var/log/history/2020-01-01/

#1577850367

ls

#1577850371

test

#1577850374

exit

说明:

上面的#1577850374 都是记录时间,这个时间叫做unix time,是从1970年1月1日临时起,到现在一共经过了多少秒。因为1969年是unix系统诞生,因此1970年1月1日被规定为unix系统诞生的时间的初始,linux系统因为和unix系统的相似性,也完全采用这种方式来记录时间,为了按照人类的年月日方式来显示时间,执行history命令来查看,就可以了,例如:

[root@test-zts 2020-01-01]# history

1 20200101_12:11:56# cd /var/log/history/

2 20200101_12:11:57# ls

3 20200101_12:12:00# cd ..

4 20200101_12:12:01# ll

5 20200101_12:12:06# cd history/

6 20200101_12:12:07# ll

7 20200101_12:12:43# ls

8 20200101_12:12:45# cd 2020-01-01/

9 20200101_12:12:46# ls

10 20200101_12:12:50# cat admin\@10.36.53.71_20200101_12\:09\:14

11 20200101_12:13:05# ls

12 20200101_12:13:13# cat admin@10.36.53.71_20200101_12:12:41

13 20200101_12:14:27# cat /etc/profile

14 20200101_12:19:20# history

weixin_39549899
关注
Linux 审计日志记录,linux日志服务器审计客户端history记录
weixin_35403151的博客
05-03 1150
需求将每台服务器上的每一个用户执行的命令、执行时间、登陆时间、主机ip、当前切换用户等信息保存到本地并实时传输至日志服务器进行异地保存。nginxIPhostname角色10.10.99.1test1rsyslog-server10.10.99.2test2rsyslog-client工具及服务1.loggerlogger是一个shell接口,能够经过该接口使用rsyslog日志模块。webus...
LinuxLinux 记录和查看登录日和操作志|查看登录历史
小鱼菜鸟的博客
07-22 4383
目录 零、查看最近登录ip 以及历史命令执行日期 查看当前登录用户信息 一、查看日志文件 二、 脚本生成所有登录用户的操作历史 显示历史命令和时间history 零、查看最近登录ip 以及历史命令执行日期 [root@izbp~]# last [root@izbp~]# last -10 //表示只显示10行 [root@iz...
linux记录登录用户的详细操作
03-30
本文档使用了两种方法来记录liunx登录用户的详细操作,综合了使用scripts 以及脚本的方法,很实用,已在实际环境中使用!
linux 记录用户操作日志
channel)海峡的博客
12-29 4799
1、背景描述 最近有需求,客户有服务器被登录,不知道谁登录的,操作了什么命令,history linux通常会用history记录,但是history有个缺陷就是默认是1000行,当然你也可以vim /etc/profile将1000修改成1000000行,但是这只是比较笼统的做法,且history可以清空,看不到详细的用户来源已经操作记录,比如来源ip地址、操作时间、操作用户等。 测试系统:CentOS Linux release 7.4.1708 (Core) (Ubuntu没测试过,请自己照葫
Linux 6种日志查看方法
最新发布
ruky36的专栏
07-05 3928
journalctl --since "2023-07-01" --until "2023-07-02" 查看特定时间段的日志。- 示例:tail -n 50 /var/log/syslog 显示最后 50 行日志。- 示例:head -n 50 /var/log/syslog 显示前 50 行日志。- tail -f /var/log/syslog 实时跟踪日志更新。- 示例:less /var/log/syslog。- 示例:more /var/log/syslog
centos6.X记录所有用户的登录和操作日志
暮色微凉丶的博客
03-26 2316
history USER=`whoami` USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ]; then USER_IP=`hostname` fi if [ ! -d /var/log/history ]; then mkdir /va...
Linux记录用户操作日志
灼烧的疯狂
03-04 3028
Linux记录用户操作记录、配置用户操作记录
Linux记录所有用户的登录和操作日志
evilstar2015的专栏
05-30 5499
在很多大厂中,一般会通过第三方的4A系统登录企业的服务器,登陆者所有的操作都会由4A系统采集、汇总、记录,以达到安全审计的目的。但是很多小公司并没有采购4A系统的预算,那么为了保证操作的安全性和可追溯性,一般我们可以用history命令来查看用户的操作记录,但是这个命令不能记录是哪个用户登录操作的,也不能记录详细操作时间,且不完整。所以误操作而造成重要的数据丢失,就很难查到是谁操作的。今天就来介绍一种非常简洁的方法,通过编写脚本来追溯每个用户的操作记录
history保存用户操作日志,登陆时间,防止会话退出时覆盖
01-09
对于日志文件,可以按照用户登录名和IP地址来命名,以便区分不同用户的操作日志。 7. **HISTFILE**:默认的历史文件是`~/.bash_history`,但你可以自定义为`/var/log/history/LOGNAME/USER_IP_USERIP.LOGNAME....
Mysql+linux安装日志.rar_MYSQL_historyxrl_linux
09-21
本教程将详细解析这个过程,结合提供的"MYSQL_historyxrl_linux"标签,我们可以推测这是一个关于MySQL安装历史记录或者涉及特定的日志分析。以下是安装MySQL在Linux上的步骤,以及可能涉及的日志分析。 **一、MySQL...
mysql linux 审计_Linux用户行为日志审计
weixin_30444697的博客
02-01 217
一:配置调试1.创建用户审计文件存放目录和审计日志文件 ;mkdir -p /var/log/usermonitor/2.创建用户审计日志文件;echo usermonitor >/var/log/usermonitor/usermonitor.log3.将日志文件所有者赋予一个最低权限的用户;chown nobody:nobody /var/log/usermonitor/usermoni...
linux记录用户登录操作日志.zip_linux查看登录用户
01-07
linux记录用户登录操作日志.日志分析 每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)
centos7记录所有用户操作记录
www120113的博客
02-24 1346
cd /etc/ 备份 cp profile profile_bk #最后添加 vim profile export PS1='[\u@\h \w]# ' history USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi if [ ! -d /opt/history ] then mkdir /opt/hist
linux系统下自动记录用户的操作
dxwd的专栏
01-19 1699
在对linux系统进行操作的时候经常多开好几个ssh窗口,执行很多命令,如果操作内容很多,时间一久就会忘记,很有必要把每一次的操作记录保存下来用于日后查看;还有一种情况就是多人协作的场景,经常会出现不同人在同一台服务器上同时操作操作的内容互相影响,这时也非常需要有一个审计日志,可以很方便的查看哪个用户做了什么操作,执行了什么命令。以下是记录 bash 命令日志的参考方法,借此可以实现Linux系统上记录用户操作的审计日志
linux记录用户的操作记录
weixin_33922670的博客
02-10 95
编辑/etc/profile文件在文件的末尾添加以下内容,然后source 下即可,用户操作记录都会记录到想用的文件中## for user history ##historyuser_ip=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`user_name=`logname`if [ "$u...
Linux记录用户操作记录
05-21 162
如下方法在centos5.x系统中通过.在/etc/profile文件里加入如下语句:1)使用script记录UID大于500的用户的所有操作,类似屏幕截图  if [ $UID -gt 500 ] then     exec /usr/bin/script -t 2>/tmp/$USER-$UID-$(date +%Y%m%d%H%M).date -a -f -q ...
linux记录history日志文件,Linux 记录history到文件
weixin_35316287的博客
05-04 2280
linux下面,为了保证服务器安全,通常会记录所敲命令的历史记录,但是记录为1000条,并且退出重新登录后,之前的变会没有了,通过编辑/etc/bashrc文件记录历史命令到日志文件下面,并已登录来源IP,登录用户名,登录时间命名日志文件名字查看默认的history编辑/etc/bashrc编辑/etc/bashrc文件,加入以下内容,也可以放在/etc/profile文件里# vim /etc...
linux用户下查看当前用户或者历史用户的操作记录
firstcode666的博客
02-25 5976
一、查看及管理当前登录用户 1、使用w命令查看登录用户正在使用的进程信息,w命令用于显示已经登录系统的用户的名称,以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括: 用户名称 用户的机器名称或tty号 远程主机地址 用户登录系统的时间 空闲时间(作用不大) 附加到tty(终端)的进程所用的时间(JCPU时间) 当前进程所用时间(PCPU时间) 用户当前正在使用的命令 $ w 23:04:27 up 29 days, 7:51,...
linux实时记录用户操作记录,linux 记录用户操作记录
weixin_33507732的博客
05-14 654
方法:1.利用script, 添加exec /usr/bin/script -a -f -q /tmp/test/script-`date +%Y%m%d%k%M`.lst 到 /etc/profile里,不过当su 切换用户的时候,有权限受限问题,可以先给/tmp/test/下的文件赋予全部权限。2.添加以下脚本到/etc/profileexport HISTTIMEFORMAT="[%Y.%m...
日志解析:追踪入侵痕迹与用户行为 IE临时文件与Unix/Linux日志关键性
在UNIX或类UNIX系统中,重要日志文件则分布在`/var/log`目录下,如`messages`(系统消息)、`secure`(安全警报)、`wtmp/last`(登录注销记录)、`http`(Web服务器日志)和`history`(命令行历史)等。 除了日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值